ده سپنتا شرکت ایمن دانده ده ارائهت، شبکه و طراحیت امنیع خدما انوا سایتwww.idsco.ir 1 Honeypot چیست؟Honeypot ا باعث میت پویین ماهی پویا هستند. هم جدید و شدیدا تقریباك تکنولوژی ها ی شود که به راحتی آنها توان نا تعریف کرد ر. Honeypot نرفته و حل به شمار خود یك راها به خودی هصی را حل نمیتی خا هیچ مشکل امنی کن ند، مینجامت اعا امنیت اط برای مختلفی کارهایستند کهری ه نعطاف پذیر ا بسیارهای بلکه ابزاهند د. تشخیص نفوذستمهای لها و سییرواند فای مان با تکنولوژیهای تکنولوژی این(IDS) تکنولوژیها است، چرا که اینفاوت متصی را حتی خائل امنی مساف می ر تعرییل راحتت همین دل و به ل کرده پیشگیرانه بهك تکنولوژی لها ییروا شوند. فاار می شم میری کامپیوتر جلوگییستمه شبکه یا سهاجمان ب از ورود مد، آنها آین کنند. IDS صی هستند. تشخیك تکنولوژی ها یی کر شناسایرانه را بکا خرار مجاز یا غیتهایست که فعالی این ادف آنها هار دهن امنیت هشدا به متخصصان آنه ده و درباره د. تعریفHoneypot عات،ص، جمع آوری اط، تشخیریمکن است در پیشگی آنها مری است، چرا که ت ها کار سختید بتوان یك گیرند. شاارستفاده قری مورد ا دیگر و کارهایHoneypot تعریف کرد را به این صورت: Honeypot عاتییستم اط یك سوع دیگران از آن استمنستفاده غیر مجاز و م است که ارزش آن به ا. میلست ای لیعضایف به وسیله ا این تعریHoneypot میلست ایم شده است. لینجا اHoneypot متشکل از یك فروم بیش از0555 یکهز آنجایص امنیت است. ا متخصHoneypot ارند، ارائ جود د مختلفی و هایل و اندازهشکا در ا ها ه . تعریف یكی استیار سختز آن کار بسمعی ا تعریف جاHoneypot ا حتی هدف آنه کار آن و یده نحو دهنشان ن یك نحوه ارزش گذاری صرفا ناظر به . این تعریف نیستHoneypot ساده تر،ه عبارت است. بHoneypot ها یك بستگی دارد. با آنهاا به تعامل مجرمان ارزش آنهستند که تکنولوژی هامی تمHoneypot یده کارس یك اسا بر ا ها مید، هر تعاملی بار نمایمل برقراد و یا با آنها تعاستفاده کن از آنهاید اد: هیچکس نبا کننHoneypot جاز شمرده غیر مار میرانه به شم بکا از یك حرکت خرانه ایده و نشا ش رود.
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
سایتانواع خدمات امنیت، شبکه و طراحی ارائه دهنده شرکت ایمن داده سپنتا
www.idsco.ir
1
Honeypot چیست؟
Honeypotنتوان آنها شود که به راحتیها یك تکنولوژی تقریبا جدید و شدیدا پویا هستند. همین ماهیت پویا باعث می
ند، کنهیچ مشکل امنیتی خاصی را حل نمیها به خودی خود یك راه حل به شمار نرفته و Honeypot .را تعریف کرد
.دهندبلکه ابزارهای بسیار انعطاف پذیری هستند که کارهای مختلفی برای امنیت اطالعات انجام می
متفاوت است، چرا که این تکنولوژیها (IDS) این تکنولوژی با تکنولوژیهایی مانند فایروالها و سیستمهای تشخیص نفوذ
شمار می شوند. فایروالها یك تکنولوژی پیشگیرانه بهل کرده و به همین دلیل راحتتر تعریف میمسائل امنیتی خاصی را ح
ها یك تکنولوژی تشخیصی هستند. IDS .کنندآیند، آنها از ورود مهاجمان به شبکه یا سیستم کامپیوتر جلوگیری می
د. ده و درباره آنها به متخصصان امنیت هشدار دهنهدف آنها این است که فعالیتهای غیر مجاز یا خرابکارانه را شناسایی کر
ها کار سخت تری است، چرا که آنها ممکن است در پیشگیری، تشخیص، جمع آوری اطالعات، Honeypot تعریف
:را به این صورت تعریف کرد Honeypot و کارهای دیگری مورد استفاده قرار گیرند. شاید بتوان یك
Honeypot است که ارزش آن به استفاده غیر مجاز و ممنوع دیگران از آن استیك سیستم اطالعاتی.
یك فروم متشکل از Honeypot انجام شده است. لیست ایمیل Honeypot این تعریف به وسیله اعضای لیست ایمیل
ه ها در اشکال و اندازه های مختلفی وجود دارند، ارائ Honeypot متخصص امنیت است. از آنجاییکه 0555بیش از
نشان دهنده نحوه کار آن و یا حتی هدف آن Honeypot تعریف جامعی از آن کار بسیار سختی است. تعریف یك
ها یك Honeypotاست. به عبارت ساده تر، Honeypot نیست. این تعریف صرفا ناظر به نحوه ارزش گذاری یك
ها بر اساس یك ایده کار Honeypot تمامیتکنولوژی هستند که ارزش آنها به تعامل مجرمان با آنها بستگی دارد.
غیر مجاز شمرده Honeypot کنند: هیچکس نباید از آنها استفاده کند و یا با آنها تعامل برقرار نماید، هر تعاملی بامی
.رودشده و نشانه ای از یك حرکت خرابکارانه به شمار می
سایتانواع خدمات امنیت، شبکه و طراحی ارائه دهنده شرکت ایمن داده سپنتا
www.idsco.ir
2
اما برای کاربران آن شبکه هیچ کاربردی ندارد و گیرد،سیستمی است که در شبکه سازمان قرار می Honeypot یك
در حقیقت هیچ یك از اعضای سازمان حق برقراری هیچگونه ارتباطی با این سیستم را ندارند. این سیستم دارای یك
-سری ضعفهای امنیتی است. از آنجاییکه مهاجمان برای نفوذ به یك شبکه همیشه به دنبال سیستمهای دارای ضعف می
کند. این سیستم توجه آنها را به خود جلب میگردند،
با توجه به اینکه هیچکس حق ارتباط با این سیستم را ندارد، پس هر تالشی برای برقراری ارتباط با این سیستم، یك تالش
شود. در حقیقت این سیستم نوعی دام است که مهاجمان را فریب داده و به خرابکارانه از سوی مهاجمان محسوب می
هد دکند و به این ترتیب عالوه بر امکان نظارت و کنترل کار مهاجمان، این فرصت را نیز به سازمان میسوی خود جلب می
.که فرد مهاجم را از سیستمهای اصلی شبکه خود دور نگه دارند
ستم به این سی دهد. هر تعاملی که انجام گیرد، هر تالشی که برای ورودهیچ سرویس واقعی ارائه نمی Honeypot یك
مورد دسترسی قرار گیرد، با احتمال بسیار زیاد نشانه ای از Honeypot صورت گیرد، یا هر فایل داده ای که روی یك
تواند روی یك شبکه داخلی به کار می Honeypot یك فعالیت خرابکارانه و غیر مجاز است. برای مثال، یك سیستم
اصی برخوردار نیست و هیچکس در درون سازمان نیازی به استفاده از آن از هیچ ارزش خ Honeypot گرفته شود. این
تواند به ظاهر یك فایل سرور، یك وب سرور، یا حتی یك ایستگاه نداشته و نباید از آن استفاده کند. این سیستم می
غیر مجاز یا یك فعالیت کاری معمولی باشد. اگر کسی با این سیستم ارتباط برقرار نماید، با احتمال زیاد در حال انجام
.خرابکارانه است
یتالی تواند هر نوع نهاد دیجحتی الزم نیست که حتما یك کامپیوتر باشد. این سیستم می Honeypot در حقیقت، یك
تواند یكشود( که هیچ ارزش واقعی ندارد. برای مثال، یك بیمارستان مییاد می Honeytoken باشد )معموال از آن به
هستند، هیچکس Honeypot درست از رکوردهای اطالعاتی بیماران ایجاد نماید. از آنجاییکه این رکوردهامجموعه نا
ین توانند در داخل پایگاه داده بیماران انباید به آنها دسترسی پیدا کرده یا با آنها تعامل برقرار کند. این رکوردها می
ر یك کارمند یا یك فرد مهاجم برای دسترسی به این رکوردها قرار گیرند. اگ Honeypot بیمارستان به عنوان یك جزء
سایتانواع خدمات امنیت، شبکه و طراحی ارائه دهنده شرکت ایمن داده سپنتا
www.idsco.ir
3
تواند به عنوان نشانه ای از یك فعالیت غیر مجاز به شمار رود، چرا که هیچکس نباید از این رکوردها تالش نماید، می
ایده ساده شود. ایناستفاده کند. اگر شخصی یا چیزی به این رکوردها دسترسی پیدا کند، یك پیغام هشدار صادر می
.کندهاست که آنها را ارزشمند می Honeypot پشت
دهند. نوعا در شبکه های را تشکیل می Honeynet که در یك شبکه قرار گرفته باشند، یك Honeypot دو یا چند
.کننداستفاده می Honeynet به تنهایی برای نظارت بر شبکه کافی نیست، از Honeypot بزرگتر و متنوعتر که یك
Honeynet شوند. در حقیقتها معموال به عنوان بخشی از یك سیستم بزرگ تشخیص نفوذ پیاده سازی می
Honeynet یك شبکه از Honeypot های با تعامل باالست که طوری تنظیم شده است که تمامی فعالیتها و تعاملها
.شودبا این شبکه، کنترل و ثبت می
Honeypot مزایای استفاده از
Honeypot کنندها صرفا مجموعه های کوچکی از داده ها را جمع آوری می. Honeypot ها فقط زمانی که کسی
نمایند، در نتیجه صرفا مجموعه های بسیار کوچکی از داده ها یا چیزی با آنها ارتباط برقرار کند داده ها را جمع آوری می
نند، با کازمانهایی که هزاران پیغام هشدار را در هر روز ثبت میکنند، که البته این داده ها بسیار ارزشمندند. سرا جمع می
شود که مدیریت و ها ممکن است فقط صد پیغام هشدار را ثبت نمایند. این موضوع باعث می Honeypot استفاده از
.ها بسیار ساده تر باشد Honeypot تحلیل داده های جمع آوری شده توسط
Honeypot یکی از مهمترین چالشهای اغلب سیستمهای تشخیصی .دهنداشتباه را کاهش می ها موارد خطاهای تشخیص
این است که پیغامهای هشدار دهنده خطای زیادی تولید کرده و در موارد زیادی، این پیغامهای هشدار دهنده واقعا نشان
ار حقیقت تهدیدی در ک دهند که دردهنده وقوع هیچ خطری نیستند. یعنی در حالی یك رویداد را تهدید تشخیص می
ها به Honeypot .دشونیست. هر چه احتمال این تشخیص اشتباه بیشتر باشد، تکنولوژی تشخیص دهنده بی فایده تر می
ها به Honeypot دهند، چرا که تقریبا هر فعالیت مرتبط باطور قابل توجهی درصد این تشخیصهای اشتباه را کاهش می
.ها در تشخیص حمالت بسیار موثرند Honeypot شده است. به همین دلیل طور پیش فرض غیر مجاز تعریف
سایتانواع خدمات امنیت، شبکه و طراحی ارائه دهنده شرکت ایمن داده سپنتا
www.idsco.ir
4
Honeypot چالش دیگری که در تکنولوژیهای تشخیصی معمول .توانند حمالت ناشناخته را تشخیص دهندها می
ینبدهند. این یك تفاوت بسیار حیاتی و مهم وجود دارد این است که آنها معموال حمالت ناشناخته را تشخیص نمی
Honeypot ها و تکنولوژیهای امنیت کامپیوتری معمولی است که بر اساس امضاهای شناخته شده یا داده های آماری
دهند. تکنولوژیهای تشخیصی مبتنی بر امضا، در تعریف به این معنا هستند که ابتدا باید هر حمله ای حداقل تشخیص می
پس با استفاده از آن امضا، در موارد بعدی شناخته شود. تشخیص مبتنی یك بار انجام شده و امضای آن شناسایی گردد و س
ها طوری طراحی شده اند که حمالت جدید را نیز Honeypot .بردبر داده های آماری نیز از خطاهای آماری رنج می
ر نتیجه حمالت ها غیر معمول شناخته شده و د Honeypot کنند. چرا که هر فعالیتی در ارتباط باشناسایی و کشف می
.کندجدید را نیز معرفی می
Honeypot حتی اگر یك حمله رمز شده باشد، .کنندها فعالیتهای رمز شده را نیز کشف میHoneypot توانند ها می
SSL ، وSSH ،IPsec این فعالیت را کشف کنند. به تدریج که تعداد بیشتری از سازمانها از پروتکلهای رمزگذاری مانند
توانند این کار را انجام دهند، چرا که حمالت ها می Honeypot .دهدکنند، این مساله بیشتر خود را نشان میمی استفاده
رمز Honeypot کنند و این فعالیت توسطبه عنوان یك نقطه انتهایی ارتباط، تعامل برقرار می Honeypot رمز شده با
.شودگشایی می
Honeypot با IPv6 اغلب .کندکار می Honeypot ها صرف نظر از پروتکل IP از جمله IPv6در هر محیط ، IP
است که بسیاری از سازمانها در بسیاری از کشورها از آن (IP) یك استاندارد جدید پروتکل اینترنت IPv6 .کنندکار می
سازگار IPv6 ه خوبی باذ بکنند. بسیاری از تکنولوژیهای فعلی مانند فایروالها و سنسورهای سیستم تشخیص نفواستفاده می
.نشده اند
Honeypot ها بسیار انعطاف پذیرند. Honeypot توانند در محیطهای مختلفی مورد ها بسیار انعطاف پذیرند و می
دهد کاری را انجام دهند که تعداد هاست که به آنها اجازه می Honeypot استفاده قرار گیرند. همین قابلیت انعطاف
.توانند انجام دهند: جمع آوری اطالعات ارزشمند به خصوص بر علیه حمالت داخلیولوژیها میبسیار کمی از تکن
سایتانواع خدمات امنیت، شبکه و طراحی ارائه دهنده شرکت ایمن داده سپنتا
www.idsco.ir
5
Honeypot حتی در بزرگترین شبکه ها، .ها به حداقل منابع نیاز دارندHoneypot .ها به حداقل منابع احتیاج دارند
.را نظارت نماید OC-12 هیا یك شبک IP تواند میلیونها آدرسیك کامپیوتر پنتیوم قدیمی و ساده می
Honeypot معایب استفاده از
Honeypot ها نیز مانند هر تکنولوژی دیگری معایبی دارند. آنها برای این طراحی نشده اند که جای هیچ تکنولوژی
.خاصی را بگیرند
Honeypot ها دارای یك محدوده دید کوچك و محدود هستند. Honeypot بینند که ها فقط همان کسانی را می
پردازند. در نتیجه حمالت بر علیه سایر سیستمها و یا تعامالت انجام شده با سایر سیستمها را مشاهده با آنها به تعامل می
گوید به شما نمی Honeypot رود. یكکنند. این نکته در عین حال که یك مزیت است، یك عیب نیز به شمار مینمی
قرار گرفته است، مگر اینکه سیستمی که مورد سوء استفاده قرار گرفته با خودکه سیستم دیگری مورد سوء استفاده
Honeypot د توانیتعاملی برقرار نماید. برای برطرف کردن این عیب راههای زیادی وجود دارد که از طریق آنها می
ها و تغییر مسیر Honeytoken توان بهها تغییر مسیر دهید. از این میان می Honeypot فعالیت مهاجمان را به سمت
.اشاره کرد
گیرید، آن تکنولوژی ریسکهای مخصوص به خود را نیز به هر زمان که شما یك تکنولوژی جدید را به کار می ریسك
همراه دارد، مثال این ریسك که یك مهاجم بر این سیستم غلبه کرده و از آن به عنوان ابزاری برای حمالت بر علیه اهداف
به آنها تخصیص داده نشده است نیز IP استفاده نماید. حتی سیستمهای تشخیص نفوذ که هیچ پشته داخلی و خارجی
های مختلف Honeypot .ها نیز در این مورد استثناء نیستند Honeypot .توانند در معرض خطر قرار داشته باشندمی
ها، Honeypot دارد. از میان انواع سطوح خطر متفاوتی دارند. راههای مختلفی نیز برای کاهش این خطرات وجود
.هانی نتها بیشترین سطح خطر را دارا هستند
سایتانواع خدمات امنیت، شبکه و طراحی ارائه دهنده شرکت ایمن داده سپنتا
www.idsco.ir
6
Honeypotانواع
کم و با تعامل زیاد تقسیم (Interaction ) توانیم آنها را به دو گروه با تعاملها، می Honeypot برای درك بهتر
انجام Honeypot یك فرد مهاجم اجازه دارد با آن، میزان فعالیت و تعاملی است که interaction کنیم. منظور از
توانید یتواند انجام دهد و در نتیجه شما مدهد. هر چه این میزان فعالیت و تعامل بیشتر باشد، فرد مهاجم کارهای بیشتری می
یز افزایش می نراجع به وی و فعالیتش اطالعات بیشتری بدست آورید. البته با افزایش این فعالیت و تعامل، میزان ریسك
Honeypot کنند، در حالیکههای با تعامل کم اجازه انجام حجم کمی از تعامالت را صادر می Honeypot .یابد
.دهندهای با تعامل زیاد حجم زیادی از تعامالت را اجازه می
Honeypot های با تعامل كم
Honeypot همان کنند و فعالیتهای مهاجمان نیز صرفا شاملیهای با تعامل کم، با شبیه سازی سیستمها و سرویسها کار م
Honeypot BackOfficer Friendlyدهند. برای مثال، شود که سرویسهای شبیه سازی شده اجازه میچیزهایی می
کند. مهاجمان در مورد کارهایی بسیار ساده است که هفت سرویس مختلف را شبیه سازی می Honeypot یك نمونه
توانند انجام دهند بسیار محدود هستند. در بیشترین حالت، بتنی بر سرویسهای شبیه سازی شده میم Honeypot که با
.ها وصل شده و دستورات اولیه کمی را انجام دهند Honeypot توانند به اینمهاجمان می
مختلفی برایهای با تعامل کم ساده تر است، چرا که آنها معموال از پیش با گزینه های Honeypot استفاده از
administrator تنظیم شده اند. فقط کافی است شما انتخاب کرده و کلیك کنید و بالفاصله یك Honeypot را با
Specter توان بهها می Honeypot سیستم عامل، سرویسها و رفتار مورد نظر خود در اختیار داشته باشید. از جمله این
سیستم عامل مختلف را 31تواند تا می Honeypot حی شده است. ایناشاره کرد که برای اجرای تحت ویندوز طرا
شوند که استفاده از اینسرویس مختلف را نظارت نماید. واسطهای کاربری باعث می 31شبیه سازی کرده و
Honeypot رده خواهید تحت نظارت قرار گیرند کلیك کها بسیار ساده باشد، فقط کافی است روی سرویسهایی که می
.را تعیین نمایید Honeypot نحوه رفتارو
سایتانواع خدمات امنیت، شبکه و طراحی ارائه دهنده شرکت ایمن داده سپنتا
www.idsco.ir
7
Honeypot های با تعامل کم همچنین از خطر کمتری برخوردارند، چرا که سرویسهای شبیه سازی شده، کارهایی را
ها توسط مهاجم وجود toolkit کنند. هیچ سیستم عامل حقیقی برای لود کردنتواند انجام دهد محدود میکه هکر می
.سرویسی که واقعا بتوان به آن نفوذ کرد نیز موجود نیستندارد، و هیچ
توانند جمع آوری نمایند، چرا که هکرها در کار با آنها محدود هستند. اما این سرویسها حجم محدودی از اطالعات را می
رها کاری ی که هککنند. زمانهمچنین این سرویسها در مواجهه با رفتارهای شناخته شده و حمالت مورد انتظار بهتر کار می
ها در درك فعالیت هکر، پاسخگویی مناسب، یا ثبت فعالیت Honeypot دهند، اینناشناخته یا غیر منتظره را انجام می
، وHoneyd ،Specter توان بههای با تعامل کم می Honeypot شوند. به عنوان مثالهایی ازبا مشکل روبرو می
KFSensor حوه کاراشاره کرد. برای درك بهتر ن Honeypot های با تعامل کم، نگاه کوتاهی به Honeyd می
.اندازیم
Honeyd :های با تعامل کم Honeypot مثالی از
Honeyd یك Honeypot عرضه شد« نیلز پرووس»توسط 2552متن باز است که اولین بار در آوریل. Honeyd
ی کامل کاربران به کد منبع خود را فراهم می آورد. اینبه عنوان یك راه حل متن باز، رایگان بوده و اجازه دسترس
Honeypot د. تواند در سیستمهای ویندوز نیز مورد استفاده قرار گیرکه برای سیستمهای یونیکس طراحی شده است، می
یك Honeyd .دهدالبته در این حالت بسیاری از ویژگیهای مورد استفاده در سیستمهای یونیکس را از دست می
Honeypot تم کنید. سپس این نرم افزار صدها سیسبا تعامل کم است که نرم افزار آن را روی یك کامپیوتر نصب می
IP ایکنید که کدام آدرسهکند. با ویرایش فایل تنظیمات، شما تعیین میعامل و سرویس مختلف را شبیه سازی می
ه شوند کدامها باشند، و کدام سرویسها شبیزی میکنترل گردند، انواع سیستم عاملهایی که شبیه سا Honeyd توسط
.سازی گردند
که به پورت FTP را با یك سرور Linux 2.4.10 بگویید که هسته یك سیستم Honeyd توانید بهبرای مثال شما می
ر حال مراجعه کنند، بر این باور خواهند بود که د Honeypot دهد شبیه سازی نماید. اگر مهاجمان به اینگوش می 23
متصل شوند، تصور خواهند کرد که با یك سرویس FTP تعامل با یك سیستم لینوکس هستند. اگر مهاجمان به سرویس
سایتانواع خدمات امنیت، شبکه و طراحی ارائه دهنده شرکت ایمن داده سپنتا
www.idsco.ir
8
واقعی رفتار FTP در تماس هستند. اسکریپت شبیه سازی شده از بسیاری نظرها کامال شبیه یك سرویس FTP واقعی
ه کند. البته این اسکریپت چیزی بیش از یك برنامه نیست کمیکرده و در عین حال، تمامی فعالیتهای فرد مهاجم را ثبت
کند. اگر فرد مهاجم کاری ماند و خروجی از پیش تعیین شده ای را تولید میمنتظر یك ورودی مشخص از مهاجم می
اهد وانجام دهد که اسکریپت شبیه سازی شده برای آن برنامه ریزی نشده باشد، این اسکریپت صرفا یك پیغام خطا برخ
.گرداند
Honeyd دارای ویژگیهایی است که برای Honeypot های با تعامل کم معمول نیست. این Honeypot نه تنها شبیه
نیز شبیه سازی IP سازی سیستم عامل را به وسیله تغییر رفتار سرویسها انجام می دهد، بلکه سیستم عاملها را در سطح پشته
Xprobe و Nmap مانند ابزارهای امنیتی اسکن fingerprinting ی فعالکند. اگر یك فرد مهاجم از روشهامی
دهد. به عالوه بر خالفبه عنوان هر سیستم عاملی که بخواهید به شما پاسخ می IP در سطح پشته Honeydاستفاده کند،
این کار را با Honeyd .را کنترل نماید IP تواند میلیونها آدرسمی Honeydهای با تعامل کم، Honeypot اغلب
دهد، بلکه تمامی روی آنها نصب شده است انجام نمی Honeypot کامپیوترهایی که این IP کنترل کردن آدرسهای
یك تالش را برای اتصال به یکی از Honeyd کند. زمانیکهبال استفاده روی شبکه شما را کنترل می IP آدرسهای
س را قطع کرده، به طور پویا خود را به جای آن قربانی جا زده، و سپس دهد، آن تمابال استفاده تشخیص می IP آدرسهای
.بردبا یك مهاجم را باال می Honeyd پردازد. این قابلیت به طور قابل توجهی شانس تعاملبا فرد مهاجم به تعامل می
Honeypot های با تعامل زیاد
Honeypot های با تعامل زیاد با Honeypot تفاوت بسیاری دارند، چرا که آنها کل سیستم عامل و های با تعامل کم
های با تعامل زیاد چیزی را شبیه سازی Honeypot .برنامه ها را به طور حقیقی برای تعامل با مهاجمان فراهم می آورند
مزایای .کنند، بلکه کامپیوترهایی واقعی هستند که برنامه هایی واقعی دارند که آماده نفوذ توسط مهاجمان هستندنمی
ها بسیار قابل توجه است. آنها برای این طراحی شده اند که حجم زیادی از اطالعات Honeypot استفاده از این دسته از
ند، شوند شناسایی نمایتوانند مهاجمانی را که به یك سیستم متصل میها نه تنها می Honeypot را به دست آورند. این
به این سرویسها نفوذ کرده و به سیستم عامل دسترسی پیدا کنند. در نتیجه شما قادر دهند کهبلکه به مهاجمان اجازه می
سایتانواع خدمات امنیت، شبکه و طراحی ارائه دهنده شرکت ایمن داده سپنتا
www.idsco.ir
9
که مهاجمان با شوند به دست آورده، در حالیهای این مهاجمان را که به این سیستمها آپلود می rootkit خواهید بود
ند آنها ا سایر مهاجمان در حال ارتباط هستاین سیستم در حال تعامل هستند ضربات کلید آنها را تحلیل نموده، و زمانیکه ب
توانید حرکات، میزان مهارت، سازمان، و سایر اطالعات ارزشمند را راجع به این مهاجمان به را کنترل کنید. در نتیجه می
.دست آورید
رفتارهای دهند، طوری طراحی شده اند کههای با تعامل زیاد شبیه سازی انجام نمی Honeypot همچنین از آنجایی که
ها بارها و بارها ثابت کرده اند که قابلیت کشف Honeypot جدید، ناشناخته یا غیر منتظره را شناسایی کنند. این دسته از
IPv6 غیر استاندارد مورد استفاده برای کانالهای دستورات پنهانی گرفته تا تونل زدن IP فعالیتهای جدید، از پروتکلهای
کردن ارتباطات را دارا هستند. البته برای به دست آوردن این قابلیتها باید بهای آن را نیز برای پنهان IPv4 در محیط
های با تعامل زیاد ریسك باالیی دارند. از آنجایی که مهاجمان با سیستم عاملهای واقعی Honeypot پرداخت. اوال
Honeypot به سایر سیستمهایی که توانند برای حمله کردن و ضربه زدنها می Honeypot شوند، اینروبرو می
های با تعامل زیاد پیچیده هستند. این بار به همین سادگی نیست که Honeypot نیستند مورد استفاده قرار گیرند. ثانیا
داشته باشید. بلکه شما باید سیستمهای واقعی را برای تعامل با Honeypot یك نرم افزار نصب کنید و پس از آن یك
-شما استفاده می Honeypot ساخته و تنظیم نمایید. همچنین با تالش برای کم کردن خطر مهاجمانی که ازمهاجمان
.کنند، این پیچیدگی بیشتر نیز خواهد شد
ها. برای ارائه Honeynet و Symantec Decoy Server های با تعامل زیاد عبارتند از Honeypot دو مثال از
.خواهیم پرداخت Decoy Server تعامل زیاد، در ادامه به توضیح های با Honeypot دید بهتری از
Symantec Decoy Server :های با تعامل زیاد Honeypot مثالی از
Decoy Server یك Honeypot تجاری است که توسط Symantec رسد. این سیستم تولید شده و به فروش می
ستمهای کند، بلکه سیم عاملها و یا سرویسها را شبیه سازی نمیکه با تعامل زیاد است، سیست Honeypot به عنوان یك
صرفا Decoy Server کند. در حال حاضرحقیقی و برنامه های حقیقی را برای برقراری تعامل با مهاجمان ایجاد می
د. شونصب می Solaris کند. این برنامه ، نرم افزاری است که روی یك سیستمکار می Solaris روی سیستم عامل
سایتانواع خدمات امنیت، شبکه و طراحی ارائه دهنده شرکت ایمن داده سپنتا
www.idsco.ir
10
فس یكکند، که هر قیکتا ایجاد می« قفس»سپس این نرم افزار سیستم میزبان موجود را در اختیار گرفته و تا چهار
Honeypot است. هر قفس یك سیستم عامل جدا و سیستم فایل مخصوص به خود را داراست. مهاجمان درست مانند
عالیت و کنند این است که هر ف. چیزی که مهاجمان درك نمیکنندسیستم عاملهای واقعی با این قفسها ارتباط برقرار می
.شودثبت و ضبط می Honeypot هر ضربه صفحه کلید آنها توسط
Honeypot های با تعامل كم در مقایسه با Honeypot های با تعامل زیاد
دارای ستند. بلکه هر یكتوجه داشته باشید که هیچ یك از این دو نوع از دیگری بهتر نی Honeypot در هنگام انتخاب
.باشندمزایا و معایبی بوده و برای کاری بهتر می
:توان به شرح زیر بیان کردهای با تعامل زیاد را می Honeypot های با تعامل کم و Honeypot مزایا و معایب
Honeypot (های با تعامل کم )شبیه سازی کننده سیستم عاملها و سرویسها
گیری آسان: معموال به سادگی نصب یك نرم افزار روی یك کامپیوتر استپیاده سازی و به کار
.نندکتوانند انجام دهند را کنترل میتوانند یا نمیریسك کم: سرویسهای شبیه سازی شده کارهایی که مهاجمان می
حد محدودی ها مهاجمان مجاز به تعامل در Honeypot جمع آوری اطالعات محدود: از آنجاییکه در این دسته از
.توان راجع به آنها بدست آوردهستند، اطالعات محدودی نیز می
Honeypot (های با تعامل زیاد )بدون شبیه سازی، با استفاده از سیستم عاملها و سرویسهای حقیقی
(تواند سخت باشد )نسخه های تجاری ساده ترندنصب و به کار گیری آنها می
د مزایا توانند با آن به تعامل بپردازنشوند که میان با سیستم عاملهای واقعی روبرو میریسك باال. این موضوع که مهاجم
.و معایب خاص خود را داراست
سایتانواع خدمات امنیت، شبکه و طراحی ارائه دهنده شرکت ایمن داده سپنتا
www.idsco.ir
11
کنند. یك روال های مختلفی نیز استفاده می Honeypot سازمانهای مختلف، اهداف متفاوتی دارند و به همین دلیل از
های با تعامل کم را Honeypotبانکها، خرده فروشان، و تولید کننده ها، معمول این است که سازمانهای تجاری مانند
های با تعامل زیاد Honeypot دهند. استفاده ازبه علت ریسك پایین، به کار گیری آسان، و نگهداری ساده، ترجیح می
معمول تر ت ریسك احتیاج دارندنیز در میان سازمانهایی که به قابلیتهای منحصر به فرد راه حلهای با تعامل زیاد و مدیری
.توان به سازمانهای نظامی، دولتی، و آموزشی اشاره کرداست. از جمله این سازمانها می
Honeypotكاربرد های
Honeypot های با تعامل زیاد
Honeypot وانید از تتوانند برای اهداف مختلفی مورد استفاده قرار گیرند.میها ابزارهایی بسیار انعطاف پذیرند که می
آنها به عنوان ابزارهایی در انبار مهمات امنیتی خود به هر نحوی که مناسب نیازهای شماست استفاده کنید. به طور کلی
دسته بندی کرد. معموال« تحقیقاتی»و « تجاری»ها را از لحاظ ارزش کاربردی در دو دسته Honeypot توانمی
Honeypot گیرند، درحالیکهاری مورد استفاده قرار میهای با تعامل کم برای اهداف تج Honeypot های با تعامل
توانند برای هر یك از اهداف می Honeypot شوند. به هر حال هر یك از انواعزیاد برای مقاصد تحقیقاتی استفاده می
ها برای اهداف Honeypot فوق مورد استفاده قرار گیرند و هیچ یك از این اهداف، برتر از دیگری نیستند. زمانی که
توانند از سازمانها به سه روش محافظت نمایند: جلوگیری از حمالت، تشخیص گیرند، میتجاری مورد استفاده قرار می
گیرند، اطالعات را جمعحمالت، و پاسخگویی به حمالت. اما زمانیك ه برای اهداف تحقیقاتی مورد استفاده قرار می
ش های مختلفی برای سازمانهای گوناگون دارند. برخی سازمانها ممکن است بخواهند کنند. این اطالعات ارزآوری می
راهکارهای مهاجم را مطالعه کنند، در حالیکه ممکن است برخی دیگر به هشدارها و پیشگیری های زودهنگام عالقه مند
.باشند
سایتانواع خدمات امنیت، شبکه و طراحی ارائه دهنده شرکت ایمن داده سپنتا
www.idsco.ir
12
جلوگیری از حمالت
Honeypot جلوگیری کنند. برای مثالتوانند به روشهای مختلف از بروز حمالت ها می Honeypot توانند از ها می
شوند پیشگیری نمایند. این حمالت مبتنی بر ابزارهایی هستندحمالت خودکار مانند حمالتی که به وسیله کرمها آغاز می
شوند، ستمها پیداگردند. اگر این سیکه به صورت تصادفی کل شبکه را اسکن کرده و به دنبال سیستمهای آسیب پذیر می
ها با کند کردن پروسه Honeypot.گیرنداین ابزارهای خودکار به آن سیستم حمله کرده و کنترل آن را به دست می
Honeypot» ها که به نام Honeypot کنند. ایناسکن و حتی توقف آن به دفاع در برابر چنین حمالتی کمك می
ها با یك فعالیت اسکن Honeypot کنند. زمانی که اینمی بدون استفاده را کنترل IP معروفند، فضای« های چسبناك
کنند. آنها این کار را با انواع مختلف ترفندهایشوند، شروع به تعامل کرده و سرعت کار مهاجم را کند میروبرو می
TCP دهند. یك مثال ازمانند استفاده از پنجره با اندازه صفر انجام می Honeypot ،های چسبناكLa Brea Tar pit
بدون تعامل Honeypot توان آنها راهای چسبناك معموال از دسته با تعامل کم هستند. حتی می Honeypot .است
.سازنددانست، چرا که مهاجم را کند و متوقف می
ین ا ها از شبکه خود در برابر حمالت انسانی غیر خودکار نیز محافظت نمایید. Honeypot توانید با استفاده ازشما می
د. به طور کنیایده مبتنی بر فریب یا تهدید است. در این روش شما مهاجمان را گیج کرده و زمان و منابع آنها را تلف می
همزمان سازمان شما قادر است که فعالیت مهاجم را تشخیص داده و در نتیجه برای پاسخگویی و متوقف کردن آن فعالیت
تواند یك گام نیز فراتر رود. اگر مهاجمان بدانند که سازمان شما ازحتی می زمان کافی در اختیار دارد. این موضوع
Honeypot کند ولی ندانند که کدام سیستمهااستفاده می Honeypot هستند، ممکن است به طور کلی از حمله کردن
ه است. یك نمونه یك عامل تهدید برای مهاجمان به شمار رفت Honeypot به شبکه شما صرفنظر کنند. در این صورت
.است Deception Toolkitهایی که برای این کار طراحی شده اند، Honeypot از
تشخیص حمالت
سایتانواع خدمات امنیت، شبکه و طراحی ارائه دهنده شرکت ایمن داده سپنتا
www.idsco.ir
13
کنند، تشخیص حمالت است. از آنجایی ها با استفاده از آن از سازمان شما محافظت می Honeypot یك راه دیگر که
اهمیت است. صرفنظر از این که یك سازمان تا چه کند، حائز که تشخیص، یك اشکال و یا نقص امنیتی را مشخص می
اندازه امن باشد، همواره اشکاالت و نقایص امنیتی وجود دارند. چرا که حداقل نیروی انسانی در پروسه امنیت درگیرند و
ی بتوانید به سرعت به آنها دسترسی پیدا کرده، و خراخطاهای انسانی همیشه دردسر سازند. با تشخیص حمالت، شما می
.آنها را متوقف ساخته یا کم نمایید
ثابت شده است که تشخیص کار بسیار سختی است. تکنولوژیهایی مانند سنسورهای سیستم تشخیص نفوذ و الگهای
سیستمها، به دالیل مختلف چندان موثر نیستند. این تکنولوژیها داده های بسیار زیادی تولید کرده و درصد خطای تشخیص
وانند در محیطهای تبسیار باالست. همچنین این تکنولوژیها قادر به تشخیص حمالت جدید نیستند و نمیمثبت نادرست آن
های با تعامل کم، بهترین راه حل برای تشخیص هستند. چرا Honeypot کار کنند. به طور معمول IPv6 رمز شده یا
های با تعامل باال، ریسك Honeypot یسه باها ساده تر بوده و در مقا Honeypot که به کار گرفتن و نگهداری این
.کمتری دارند
پاسخگویی به حمالت
Honeypot توانند به سازمانها کمك کنند. زمانی که یك سازمان یك مشکل امنیتی ها با پاسخگویی به حمالت نیز می
ك برانگیزترین مسائل یتواند یکی از چالش دهد، چگونه باید به آن پاسخ دهد؟ این مساله معموال میرا تشخیص می
سازمان باشد. معموال اطالعات کمی درباره اینکه مهاجمان چه کسانی هستند، چگونه به آنجا آمده اند، و یا اینکه چقدر
تخریب ایجاد کرده اند وجود دارد. در این شرایط، داشتن اطالعات دقیق در مورد فعالیت های مهاجمان بسیار حیاتی
ویی به رویداد آمیخته شده است. اول اینکه بسیاری از سیستم هایی که معموال مورد سوء استفاده است. دو مساله با پاسخگ
توانند برای تحلیل شدن از شبکه خارج گردند. سیستم های تجاری، مانند میل سرور یك سازمان، به گیرند نمیقرار می
کنند نیت نتوانند سیستم را از شبکه خارجحدی مهم هستند که حتی اگر این سیستم هك شود، ممکن است متخصصان ام
و برای تحلیل آن بحث نمایند. به جای این کار، آنها مجبورند به تحلیل سیستم زنده در حالی که هنوز سرویسهای تجاری
سایتانواع خدمات امنیت، شبکه و طراحی ارائه دهنده شرکت ایمن داده سپنتا
www.idsco.ir
14
شود که تحلیل اتفاقی که رخ داده، میزان خسارت به بار آمده، و تشخیصکند، بپردازند. این موضوع باعث میرا ارائه می
.نفوذ مهاجم به سیستم های دیگر سخت باشد
مشکل دیگر این است که حتی اگر سیستم از شبکه خارج گردد، به حدی آلودگی داده وجود دارد که تشخیص اینکه
فرد مهاجم چه کاری انجام داده است بسیار سخت است. منظور از آلودگی داده، داده های بسیار زیاد در مورد فعالیت
انند ورود کاربران، خواندن حسابهای ایمیل، فایلهای نوشته شده در پایگاه داده، و مسائلی از این قبیل( های گوناگون)م
.شود تشخیص فعالیت های معمول روزانه از فعالیتهای فرد مهاجم سخت باشداست که باعث می
Honeypot لت از شبکه خارج گردند تا توانند به سرعت و سهوها برای هر دوی این مشکالت راه حل دارند. آنها می
یك تحلیل کامل بدون تاثیر بر کارهای روزانه انجام گیرد. همچنین از آنجایی که این سیستم ها فقط فعالیت های
د. کنند، کار تحلیل بسیار ساده تر خواهد بود و داده های بسیار کمتری باید بررسی شونخرابکارانه یا تایید نشده را ثبت می
ها به این است که آنها قادرند به سرعت اطالعات عمیق و پرفایده را در اختیار سازمان قرار دهند تا Honeypot ارزش
های با تعامل باال بهترین گزینه برای پاسخگویی است. برای پاسخگویی Honeypot .بتواند به یك رویداد پاسخ دهد
داده اند، شیوه نفوذ، و ابزارهای مورد استفاده آنها داشته به نفوذگران، شما باید دانش عمیقی در مورد کاری که آنها انجام
.های با تعامل باال دارید Honeypot باشید. برای به دست آوردن این نوع داده ها، شما احتیاج به
ها برای مقاصد تحقیقاتی Honeypot استفاده از
قیقاتی نیز مورد استفاده قرار گیرند. به این توانند برای مقاصد تحها می Honeypotهمانطور که پیش از این اشاره شد،
ترتیب اطالعات ارزشمندی در مورد تهدیدات به دست می آید که تکنولوژیهای دیگر کمتر قادر به جمع آوری آن
هستند. یکی از بزرگترین مشکالت متخصصان امنیت، کمبود اطالعات یا آگاهی در مورد حمالت مجازی است. زمانی
های تحقیقاتی این Honeypot خواهید در برابر او دیوار دفاعی تشکیل دهید؟شناسید، چگونه میمیکه شما دشمن را ن
توانند از این اطالعات برای مقاصد کنند. سپس سازمانها میمشکل را با جمع آوری اطالعاتی در مورد تهدیدات حل می
سایتانواع خدمات امنیت، شبکه و طراحی ارائه دهنده شرکت ایمن داده سپنتا
www.idsco.ir
15
اجمان و جوامع آنها، هشدارهای اولیه و جلوگیری، مختلفی مانند تحلیل، شناسایی ابزارها و روشهای جدید، شناسایی مه
.و یا درك انگیزه های مهاجمان استفاده کنند
Honeypotمکانیزم های جمع آوری اطالعات در
جمع آوری اطالعات در سیستمی که صرفا به این منظور طراحی شده است که مورد سوء استفاده مهاجمان و هکرها قرار
رها سازد، در عین حال مزاحم کار هکها را ممکن میباشد که عالوه بر اینکه تحلیل جدی فعالیتگیرد، باید به صورتی
ها کنند، دادهر تشخیص و تحلیل حمالت و تهدیدات استفاده میمنظو به Honeypot نیز نگردد. در شبکه هایی که از
را داراست. بر این اساس، سه مکانیزم توانند در سه نقطه مختلف جمع آوری شوند که هریك مزایا و معایب خودمی
:شودمی تعریف ها Honeypot مختلف برای جمع آوری اطالعات در
میزبان بر مبتنی -1
ا برای ثبت شوند، بیشترین پتانسیل رداده هایی که بر روی میزبانی که مورد سوء استفاده قرار گرفته است جمع آوری می
وارد شده بر روی میزبان از طریق خط دستور، و پردازه های در حال اجرا دارا ارتباطات ورودی و خروجی، دستورات
یا ابزارهای ها وهستند. متاسفانه این روش بیشترین خطر را نیز به همراه دارد. چرا که فرد نفوذگر معموال به دنبال الگ
اده پنهان کند. به این ترتیب، جمع آوری دکند آنها را غیرفعال نماید تا بتواند حضور خود را گردد و سعی میامنیتی می
تواند توسط فرد هکر متوقف شده و یا دستخوش تغییر گردد، به طوری که نتایج به دست آمده را کامال مغشوش ها می
زیر موارد به توانمی Honeypot هایی از ابزارهای مورد استفاده برای ثبت فعالیت بر روی یكنماید. به عنوان مثال
:ردک اشاره
های سیستمی سیستم عامل )که نوعا اولین هدف یك نفوذگر است(الگ
Snort های تشخیص نفوذ با قابلیت جمع آوری بسته مانندسیستم
Ethernal ابزارهای جمع آوری و تحلیل بسته ها مانند
سایتانواع خدمات امنیت، شبکه و طراحی ارائه دهنده شرکت ایمن داده سپنتا
www.idsco.ir
16
شبکه بر مبتنی -2
، داده ها را به صورت Honeypot است کهتر و در عین حال پیچیده تر برای جمع آوری داده ها این یك راه حل امن
د که داده دهپنهانی جمع آوری کرده و برای تحلیل بیشتر برای یك سرور دیگر ارسال نماید. این راه حل به ما اجازه می
را بر روی سیستم دیگری آرشیو کنیم. فرض بر این است که این سرور در Honeypot های جمع آوری شده توسط
مان ایمن شده است، چرا که ممکن است فرد نفوذگر متوجه جریان اطالعات به بیرون برابر حمالت مهاج
شده و سعی کند مکانیزم جمع آوری و ارسال اطالعات را متوقف نماید. با استفاده از ابزارهایی Honeypot از
را از طریق یك پنهان کنیم و داده ها Honeypot توانیم سرویس جمع آوری داده را بر روی، میSebek مانند
فعالیت فرد نفوذگر را ضبط کرده و Sebek به یك سرور دیگر ارسال کرده و بر روی آن ذخیره نماییم. UDP ارتباط
ین موضوع کند. ابه صورت پنهانی آن را به یك سرور در داخل شبکه یا یك سرور در هر جایی بر روی اینترنت ارسال می
در شکل زیر نمایش داده شده است.
Sebek جمع آوری اطالعات مبتنی بر شبکه با استفاده از
سایتانواع خدمات امنیت، شبکه و طراحی ارائه دهنده شرکت ایمن داده سپنتا
www.idsco.ir
17
(gatewayمبتنی بر مسیریاب/ دروازه ) -3
، مسیریاب یا فایروال شبکه است. از gateway آخرین روش معمول مورد استفاده برای جمع آوری داده ها در سطح
ا کند، این فرصت را برای ماینترنت منتقل میهای یك شبکه و تمامی داده ها را بین میزبان gateway آنجاییکه یك
شوند، های ما منتقل می Honeypot کند که از این طریق، تمامی ارتباطات و داده هایی را که از اینترنت بهایجاد می
معموال در شبکه gateway یك که چرا. است Sebek ثبت نماییم. این مساله دارای خطر بیشتری نسبت به راه حل
زار شود. به عالوه، این روش بیشتر وابسته به سخت افنیست و در نتیجه خود نیز به هدف حمالت مهاجمان تبدیل میپنهان
عمل کند. در عین حال، بسیاری gateway است، چرا که شما به سروری احتیاج دارید که در نقش یك
ی عمده ای برای ثبت اطالعات ندارند هاشوند، قابلیتهایی که در مقیاس کوچك یا خانگی طراحی می gateway از
توانند در این نقش مورد استفاده قرار گیرند.و نمی
های میزبان به شدت کاهش می یابد های قوی جمع آوری داده، اعتبار اطالعات جمع آوری شده از سیستمبدون تکنیك
این اطالعات نیز از اهمیت بسیار زیادی و از آنجاییکه یکی از اهداف اصلی این اطالعات شناخت مهاجمان است، اعتبار
برخوردار است.
Related Documents
