روی لینک های زیر کلیک کنید و از سایت های بین نظیر دیدن کنید
مضرات Honeypot ها
شبیه تمامی تکنولوژیها ، Honeypot ها نیز دارای نقاط ضعفی می باشند. این بدان علت می باشد که Honeypot ها جایگزین تکنولوژی دیگری نمی شوند بلکه در کنار تکنولوژیهای دیگر کار می کنند.
1- محدودیت دید : Honeypot ها فقط فعایتهایی را می توانند پیگیری و ثبت کنند که به صورت مستقیم با آنها در ارتباط باشند. Honeypot حملاتی که بر علیه سیستمهای دیگر در حال انجام است را نمی توانند ثبت کنند به جز اینکه نفوذگر و یا آن تهدید فعل و انفعالی را با Honeypot داشته باشد.
2- ریسک : همه تکنولوژیهای امنیتی دارای ریسک می باشند. دیوارهای آتش ریسک نفوذ و یا رخنه کردن در آن را دارند. رمزنگاری ریسک شکستن رمز را دارد، IDS ها ممکن است نتوانند یک حمله را تشخیص دهند. Honeypot ها مجزای از اینها نیستند. آنها نیز دارای ریسک می باشند. به خصوص اینکه Honeypot ها ممکن است که ریسک به دست گرفتن کنترل سیستم توسط یک فرد هکر و صدمه زدن به سیستمهای دیگر را داشته باشند. البته این ریسکها برای انواع مختلف Honeypot ها فرق می کند و بسته به اینکه چه نوعی از Honeypot را استفاده می کنید نوع و اندازه ریسک شما نیز متفاوت می باشد.ممکن است استفاده از یک نوع آن ، ریسکی کمتر از IDS ها داشته باشد و استفاده از نوعی دیگر ریسک بسیار زیادی را در پی داشته باشد.ما در ادامه مشخص خواهیم کرد که چه نوعی از Honeypot ها دارای چه سطحی از ریسک می باشند. تفاوت شکلی تشخیص با پیش گیری
در ظاهر، روش های تشخیص نفوذ و پیش گیری از نفوذ رقیب هستند. به هرحال، آنها لیست بلندبالایی از عملکردهای مشابه، مانند بررسی بسته داده، تحلیل با توجه به حفظ وضعیت، گردآوری بخش های TCP، ارزیابی پروتکل و تطبیق امضاء دارند. اما این قابلیت ها به عنوان ابزاری برای رسیدن به اهداف متفاوت در این دو روش به کار گرفته می شوند. یک IPS (Intrusion Prevention System) یا سیستم پیش گیری مانند یک محافظ امنیتی در مدخل یک اجتماع اختصاصی عمل می کند که بر پایه بعضی گواهی ها و قوانین یا سیاست های از پیش تعیین شده اجازه عبور می دهد. یک IDS (Intrusion Detection System) یا سیستم تشخیص مانند یک اتومبیل گشت زنی در میان اجتماع عمل می کند که فعالیت ها را به نمایش می گذارد و دنبال موقعیت های غیرعادی می گردد. بدون توجه به قدرت امنیت در مدخل، گشت زن ها به کار خود در سیستم ادامه می دهند و بررسی های خود را انجام می دهند.
تکنولوژی IDS
NIDS (Network Base)
گوش دادن به شبکه و جمع آوری اطلاعات ازطریق کارت شبکه ای که در آن شبکه وجود دارد .
به تمامی ترافیک های موجود گوش داده و در تمام مدت در شبکه مقصد فعال باشد.
HIDS (Host Base)
تعداد زیادی از شرکتها در زمینه تولید این نوع IDS فعالیت می کنند.روی PC نصب می شود و از CPU و هارد سیستم استفاده می کنند.دارای اعلان خطر در لحظه می باشد.
جمع آوری اطلاعات در لایه Application
مثال این نوع IDS ، نرم افزارهای مدیریتی می باشند که ثبت وقایع را تولید و کنترل می کنند.
Honey pot
سیستمی می باشد که عملا طوری تنظیم شده است که در معرض حمله قرار بگیرد. اگر یک پویشگری از NIDS ، HIDS و دیواره آتش با موفقیت رد شود متوجه نخواهد شد که گرفتار یک Honey pot شده است. و خرابکاری های خود را روی آن سیستم انجام می دهد و می توان از روشهای این خرابکاریی ها برای امن کردن شبکه استفاده کرد.
Honey pot چیست؟
Honeypotها یک تکنولوژی جدید می باشند که قابلیتهای فراوانی برای جامعه امنیتی دارند. البته مفهوم آن در ابتدا به صورتهای مختلفی تعریف شده بود به خصوص توسط Cliff Stoll در کتاب « The Cuckoos Egg » . از آنجا به بعد بود که Honeypot ها شروع به رشد کردند و به وسیله ابزارهای امنیتی قوی توسعه یافتند و رشد آنها تا به امروز ادامه داشته است. هدف این مقاله تعریف و شرح واقعی Honeypot می باشد و بیان منفعت ها و مضرات آنها و اینکه آنها در امنیت چه ارزشی برای ما دارند.
تعریف
قدم اول در فهم اینکه Honeypot چه می باشند بیان تعریفی جامع از آن است. تعریف Honeypot می تواند سخت تر از آنچه که به نظر می رسد باشد. Honeypot ها از این جهت که هیچ مشکلی را برای ما حل نمی کنند شبیه دیواره های آتش و یا سیستمهای تشخیص دخول سرزده نمی باشند. در عوض آنها یک ابزار قابل انعطافی می باشند که به شکلهای مختلفی قابل استفاده هستند.آنها هر کاری را می توانند انجام دهند از کشف حملات پنهانی در شبکه های IPv6 تا ضبط آخرین کارت اعتباری جعل شده! و همین انعطاف پذیریها باعث شده است که Honeypot ها ابزارهایی قوی به نظر برسند و از جهتی نیز غیر قابل تعریف و غیر قابل فهم!!
البته من برای فهم Honeypot ها از تعریف زیر استفاده می کنم:
یک Honeypot یک منبع سیستم اطلاعاتی می باشد که با استفاده از ارزش کاذب خود اطلاعاتی ازفعالیتهای بی مجوز و نا مشروع جمع آوری می کند.
. به صورت کلی تمامی Honeypot ها به همین صورت کار می کنند. آنها یک منبعی از فعالیتها بدون مجوز می باشند. به صورت تئوری یک Honeypot نباید هیچ ترافیکی از شبکه ما را اشغال کند زیرا آنها هیچ فعالیت قانونی ندارند. این بدان معنی است که تراکنش های با یک Honeypot تقریبا تراکنش های بی مجوز و یا فعالیتهای بد اندیشانه می باشد. یعنی هر ارتباط با یک Honeypot می تواند یک دزدی ، حمله و یا یک تصفیه حساب می باشد. حال آنکه مفهوم آن ساده به نظر می رسد ( و همین طور هم است) و همین سادگی باعث این هم موارد استفاده شگفت انگیز از Honeypot ها شده است که من در این مقاله قصد روشن کردن این موارد را دارم.
فواید Honeypot ها
Honeypot مفهوم بسیار ساده ای دارد ولی دارای توانایی های قدرتمندی می باشد.
1. داده های کوچک دارای ارزش فراوان: Honeypot ها یک حجم کوچکی ار داده ها را جمع آوری می کنند. به جای اینکه ما در یک روز چندین گیگابایت اطلاعات را در فایلهای ثبت رویدادها ذخیره کنیم توسط Honeypot فقط در حد چندین مگابایت باید ذخیره کنیم. به جای تولید 10000 زنگ خطر در یک روز آنها فقط 1 زنگ خطر را تولید می کنند. یادتان باشد که Honeypot ها فقط فعالیتهای ناجور را ثبت می کنند و هر ارتباطی با Honeypot می تواند یک فعالیت بدون مجوز و یا بداندیشانه باشد. و به همین دلیل می باشد که اطلاعات هر چند کوچک Honeypot ها دارای ارزش زیادی می باشد زیرا که آنها توسط افراد بد ذات تولید شده و توسط Honeypot ضبط شده است. این بدان معنا می باشد که تجزیه و تحلیل اطلاعات یک Honeypot آسانتر (و ارزانتر) از اطلاعات ثبت شده به صورت کلی می باشد.
2. ابزار و تاکتیکی جدید : Honeypot برای این طراحی شده اند که هر چیزی که به سمت آنها جذب می شود را ذخیره کنند. با ابزارها و تاکتیکهای جدیدی که قبلا دیده نشده اند.
3. کمترین احتیاجات: Honeypot ها به کمترین احتیاجات نیاز دارند زیرا که آنها فقط فعالیتهای ناجور را به ثبت می رسانند. بنابراین با یک پنتیوم قدیمی و با 128 مگابایت RAM و یک شبکه با رنج B به راحتی می توان آن را پیاده سازی کرد.
4. رمز کردن یا IPv6 : بر خلاف برخی تکنولوژیهای امنیتی (مانند IDS ها ) Honeypot خیلی خوب با محیطهای رمز شده و یا IPv6 کار می کنند. این مساله مهم نیست که یک فرد ناجور چگونه در یک Honeypot گرفتار می شود زیرا Honeypot ها خود می توانند آنها را شناخته و فعالیتهای آنان را ثبت کنند.
سطح شبکه در مدل امنیت لایه بندی شده به WAN و LAN داخلی اشاره دارد. شبکه داخلی ممکن است شامل چند کامپیوتر و سرور و یا پیچیده تر یعنی شامل اتصالات نقطه به نقطه به دفترهای کار دور باشد. بیشتر شبکه های امروزی در ورای پیرامون، باز هستند؛ یعنی هنگامی که داخل شبکه قرار دارید، می توانید به راحتی در میان شبکه حرکت کنید که به این ترتیب این شبکه ها برای هکرها و افراد بداندیش به اهدافی وسوسه انگیز مبدل می شوند. تکنولوژی های ذیل امنیت را در سطح شبکه برقرار می کنند
گانگسترها بیش از 10000 وب سایت را برای بدست آوردن رمزهای بانکی
آلوده کرده اند.
گانگسترها در حال حاضر حمله ای جدید را
شروع کرده اند حمله به وب سایت ها! آنها متخصصین ماهری در زمینه هک و امنیت
اینترنت و برنامه نویسی را به
استخدام خود در آورده اند تا بتواند اهداف جنایتکارانه خود را در دنیای مجازی
به پیش ببرند.
جنایتکارانی که احتمال می رود در شرق اروپا ساکن هستند بیش از ده هزار
صفحه وب معروف (شامل آژانس های مسافرتی، هتل ها، خیریه ها، سازمانهای دولتی و
...) را آلوده کرده اند تا بتوانند از آنها سوء استفاده کنند. بیشترین این وب
سایت ها در ایتالیا هستند ولی این حمله ها در حال گسترش به اسپانیا و ایالات
متحده آمریکاست.
شما می توانید فقط با 350 هزار تومان از وب
سایت های روسی یک بسته نرم افزاری هک بخرید. نفوذگران در این روش کدهایی را در وب سایت قربانی
می کارند که در نتیجه آن کامپیوتر هر کسی که آن وب سایت را (که به یک وب سایت
آلوده تبدیل شده است) باز می کند یک Keylogger
دریافت می کند. این Keylogger به هکرها اجازه می
دهد هر فعالیتی را کامپیوتر قربانی انجام می دهد مشاهده کنند. بدین ترتیب
آنها می توانند اطلاعات و رمزهای عبور حساب بانکی آن شخص را بدست آورند.
هیچ کس نمی داند چند کامپیوتر در دنیا به این روش آلوده شده است اما حقیقت
این است که سیستم های امنیتی موجود می توانند از هر 1000 مورد فقط تعداد کمی
را شناسایی کنند.
دن هوبارد از شرکت امنیتی Firm Websense می
گوید، علت اینکه خلافکاران دنیای مجازی ایتالیا را هدف قرار داده اند. ممکن
است از هجوم فصلی مردم به وب سایت های توریستی این کشور باشد یا اینکه آنها
توانسته اند به فایروال یکی از بانک های ایتالیایی نفوذ کنند و مشکل اینجاست
که شناسای این گونه موارد بسیار مشکل است.
حمله تروجان ها چیز تازه ای نیست اما طبق ادعای متخصصین امنیت امروزه این
حمله ها در مقیاس بسیار وسیع تری انجام می گیرد.
محققان پس از ردیابی این حملات متوجه شده اند که حملات به سمت سرورهایی که
در هنگ کنگ، سان فرانسیسکو و شیکاگو قرار گرفته اند در حال انتقال است.
FBI و متخصصین پلیس اروپا در حال ردگیری خرابکاران
هستند تا منبع اصلی را شناسایی کنند.
علت اینکه خلافکاران فضای مجازی اینقدر قوی عمل می کنند این است که آنها
از نرم افزارهایی استفاده می کنند که برای شناسایی انواع مختلف روش های نفوذ
راه حل دارند. و هر نقطه ضعف امنیتی که در سرورها و وب سایت ها وجود داشته
باشد آنها را در برابر این خلافکاران به شدت آسیب پذیر می کند. در حالیکه سرورها و وب سایت ها سعی
در حفاظت بیشتر دارند اما اکثر کاربران اینترنت معمولاً دانش کافی در این
زمینه ندارند و خیلی زود کامپیوترشان آلوده می شود. و مشکل این است که هر چه
روش های امنیتی تقویت می شوند از آن طرف هم روش های نفوذ هم پیچیده می شوند.
ترجمه: علی یزدی مقدم