انواع Honeypot

IRCAR200912044
در مقاله «Honeypot چيست؟» به تعريف سيستمهاي Honeypot، مزايا و معايب اين سيستمها پرداختيم. در اين مقاله پس از معرفي انواع Honeypot، به ذكر يك مثال از هر نوع خواهيم پرداخت.
براي درك بهتر Honeypot ها، مي­توانيم آنها را به دو گروه با تعامل ( Interaction) كم و با تعامل زياد تقسيم كنيم. منظور از interaction، ميزان فعاليت و تعاملي است كه يك فرد مهاجم اجازه دارد با آن Honeypot انجام دهد. هر چه اين ميزان فعاليت و تعامل بيشتر باشد، فرد مهاجم كارهاي بيشتري مي­تواند انجام دهد و در نتيجه شما مي­توانيد راجع به وي و فعاليتش اطلاعات بيشتري بدست آوريد. البته با افزايش اين فعاليت و تعامل، ميزان ريسك نيز افزايش مي يابد. Honeypot هاي با تعامل كم اجازه انجام حجم كمي از تعاملات را صادر مي­كنند، در حاليكه Honeypot هاي با تعامل زياد حجم زيادي از تعاملات را اجازه مي­دهند.

Honeypot هاي با تعامل كم
Honeypot هاي با تعامل كم، با شبيه سازي سيستمها و سرويسها كار مي­كنند و فعاليتهاي مهاجمان نيز صرفا شامل همان چيزهايي مي­شود كه سرويسهاي شبيه سازي شده اجازه مي­دهند. براي مثال، Honeypot BackOfficer Friendly يك نمونه Honeypot بسيار ساده است كه هفت سرويس مختلف را شبيه سازي مي­كند. مهاجمان در مورد كارهايي كه با Honeypot مبتني بر سرويسهاي شبيه سازي شده مي­توانند انجام دهند بسيار محدود هستند. در بيشترين حالت، مهاجمان مي­توانند به اين Honeypot ها وصل شده و دستورات اوليه كمي را انجام دهند.
استفاده از Honeypot هاي با تعامل كم ساده تر است، چرا كه آنها معمولا از پيش با گزينه هاي مختلفي براي administrator تنظيم شده اند. فقط كافي است شما انتخاب كرده و كليك كنيد و بلافاصله يك Honeypot را با سيستم عامل، سرويسها و رفتار مورد نظر خود در اختيار داشته باشيد. از جمله اين Honeypot ها مي­توان به Specter اشاره كرد كه براي اجراي تحت ويندوز طراحي شده است. اين Honeypot مي­تواند تا 13 سيستم عامل مختلف را شبيه سازي كرده و 14 سرويس مختلف را نظارت نمايد. واسطهاي كاربري باعث مي­شوند كه استفاده از اين Honeypot ها بسيار ساده باشد، فقط كافي است روي سرويسهايي كه مي­خواهيد تحت نظارت قرار گيرند كليك كرده و نحوه رفتار Honeypot را تعيين نماييد.
Honeypot هاي با تعامل كم همچنين از خطر كمتري برخوردارند، چرا كه سرويسهاي شبيه سازي شده، كارهايي را كه هكر مي­تواند انجام دهد محدود مي­كنند. هيچ سيستم عامل حقيقي براي لود كردن toolkit ها توسط مهاجم وجود ندارد، و هيچ سرويسي كه واقعا بتوان به آن نفوذ كرد نيز موجود نيست.
اما اين سرويسها حجم محدودي از اطلاعات را مي­توانند جمع آوري نمايند، چرا كه هكرها در كار با آنها محدود هستند. همچنين اين سرويسها در مواجهه با رفتارهاي شناخته شده و حملات مورد انتظار بهتر كار مي­كنند. زماني كه هكرها كاري ناشناخته يا غير منتظره را انجام مي­دهند، اين Honeypot ها در درك فعاليت هكر، پاسخگويي مناسب، يا ثبت فعاليت با مشكل روبرو مي­شوند. به عنوان مثالهايي از Honeypot هاي با تعامل كم مي­توان به Honeyd، Specter، و KFSensor اشاره كرد. براي درك بهتر نحوه كار Honeypot هاي با تعامل كم، نگاه كوتاهي به Honeyd مي اندازيم.
مثالي از Honeypot هاي با تعامل كم: Honeyd
Honeyd يك Honeypot متن باز است كه اولين بار در آوريل 2002 توسط «نيلز پرووس» عرضه شد. Honeyd به عنوان يك راه حل متن باز، رايگان بوده و اجازه دسترسي كامل كاربران به كد منبع خود را فراهم مي آورد. اين Honeypot كه براي سيستمهاي يونيكس طراحي شده است، مي­تواند در سيستمهاي ويندوز نيز مورد استفاده قرار گيرد. البته در اين حالت بسياري از ويژگيهاي مورد استفاده در سيستمهاي يونيكس را از دست مي­دهد. Honeyd يك Honeypot با تعامل كم است كه نرم افزار آن را روي يك كامپيوتر نصب مي­كنيد. سپس اين نرم افزار صدها سيستم عامل و سرويس مختلف را شبيه سازي مي­كند. با ويرايش فايل تنظيمات، شما تعيين مي­كنيد كه كدام آدرسهاي IP توسط Honeyd كنترل گردند، انواع سيستم عاملهايي كه شبيه سازي مي­شوند كدامها باشند، و كدام سرويسها شبيه سازي گردند.
براي مثال شما مي­توانيد به Honeyd بگوييد كه هسته يك سيستم Linux 2.4.10 را با يك سرور FTP كه به پورت 21 گوش مي­دهد شبيه سازي نمايد. اگر مهاجمان به اين Honeypot مراجعه كنند، بر اين باور خواهند بود كه در حال تعامل با يك سيستم لينوكس هستند. اگر مهاجمان به سرويس FTP متصل شوند، تصور خواهند كرد كه با يك سرويس واقعي FTP در تماس هستند. اسكريپت شبيه سازي شده از بسياري نظرها كاملا شبيه يك سرويس FTP واقعي رفتار كرده و در عين حال، تمامي فعاليتهاي فرد مهاجم را ثبت مي­كند. البته اين اسكريپت چيزي بيش از يك برنامه نيست كه منتظر يك ورودي مشخص از مهاجم مي­ماند و خروجي از پيش تعيين شده اي را توليد مي­كند. اگر فرد مهاجم كاري انجام دهد كه اسكريپت شبيه سازي شده براي آن برنامه ريزي نشده باشد، اين اسكريپت صرفا يك پيغام خطا برخواهد گرداند.
Honeyd داراي ويژگيهايي است كه براي Honeypot هاي با تعامل كم معمول نيست. اين Honeypot نه تنها شبيه سازي سيستم عامل را به وسيله تغيير رفتار سرويسها انجام مي دهد، بلكه سيستم عاملها را در سطح پشته IP نيز شبيه سازي مي­كند. اگر يك فرد مهاجم از روشهاي فعال fingerprinting مانند ابزارهاي امنيتي اسكن Nmap و Xprobe استفاده كند، Honeyd در سطح پشته IP به عنوان هر سيستم عاملي كه بخواهيد به شما پاسخ مي­دهد. به علاوه بر خلاف اغلب Honeypot هاي با تعامل كم، Honeyd مي­تواند ميليونها آدرس IP را كنترل نمايد. Honeyd اين كار را با كنترل كردن آدرسهاي IP كامپيوترهايي كه اين Honeypot روي آنها نصب شده است انجام نمي­دهد، بلكه تمامي آدرسهاي IP بلا استفاده روي شبكه شما را كنترل مي­كند. زمانيكه Honeyd يك تلاش را براي اتصال به يكي از آدرسهاي IP بلا استفاده تشخيص مي­دهد، آن تماس را قطع كرده، به طور پويا خود را به جاي آن قرباني جا زده، و سپس با فرد مهاجم به تعامل مي­پردازد. اين قابليت به طور قابل توجهي شانس تعامل Honeyd با يك مهاجم را بالا مي­برد.

Honeypot هاي با تعامل زياد
Honeypot هاي با تعامل زياد با Honeypot هاي با تعامل كم تفاوت بسياري دارند، چرا كه آنها كل سيستم عامل و برنامه ها را به طور حقيقي براي تعامل با مهاجمان فراهم مي آورند. Honeypot هاي با تعامل زياد چيزي را شبيه سازي نمي­كنند، بلكه كامپيوترهايي واقعي هستند كه برنامه هايي واقعي دارند كه آماده نفوذ توسط مهاجمان هستند. مزاياي استفاده از اين دسته از Honeypot ها بسيار قابل توجه است. آنها براي اين طراحي شده اند كه حجم زيادي از اطلاعات را به دست آورند. اين Honeypot ها نه تنها مي­توانند مهاجماني را كه به يك سيستم متصل مي­شوند شناسايي نمايند، بلكه به مهاجمان اجازه مي­دهند كه به اين سرويسها نفوذ كرده و به سيستم عامل دسترسي پيدا كنند. در نتيجه شما قادر خواهيد بود rootkit هاي اين مهاجمان را كه به اين سيستمها آپلود مي­شوند به دست آورده، در حالي­كه مهاجمان با اين سيستم در حال تعامل هستند ضربات كليد آنها را تحليل نموده، و زمانيكه با ساير مهاجمان در حال ارتباط هستند آنها را كنترل كنيد. در نتيجه مي­توانيد حركات، ميزان مهارت، سازمان، و ساير اطلاعات ارزشمند را راجع به اين مهاجمان به دست آوريد.
همچنين از آنجايي كه Honeypot هاي با تعامل زياد شبيه سازي انجام نمي­دهند، طوري طراحي شده اند كه رفتارهاي جديد، ناشناخته يا غير منتظره را شناسايي كنند. اين دسته از Honeypot ها بارها و بارها ثابت كرده اند كه قابليت كشف فعاليتهاي جديد، از پروتكلهاي IP غير استاندارد مورد استفاده براي كانالهاي دستورات پنهاني گرفته تا تونل زدن IPv6 در محيط IPv4 براي پنهان كردن ارتباطات را دارا هستند. البته براي به دست آوردن اين قابليتها بايد بهاي آن را نيز پرداخت. اولا Honeypot هاي با تعامل زياد ريسك بالايي دارند. از آنجايي كه مهاجمان با سيستم عاملهاي واقعي روبرو مي­شوند، اين Honeypot ها مي­توانند براي حمله كردن و ضربه زدن به ساير سيستمهايي كه Honeypot نيستند مورد استفاده قرار گيرند. ثانيا Honeypot هاي با تعامل زياد پيچيده هستند. اين بار به همين سادگي نيست كه يك نرم افزار نصب كنيد و پس از آن يك Honeypot داشته باشيد. بلكه شما بايد سيستمهاي واقعي را براي تعامل با مهاجمان ساخته و تنظيم نماييد. همچنين با تلاش براي كم كردن خطر مهاجماني كه از Honeypot شما استفاده مي­كنند، اين پيچيدگي بيشتر نيز خواهد شد.
دو مثال از Honeypot هاي با تعامل زياد عبارتند از Symantec Decoy Server و Honeynet ها. براي ارائه ديد بهتري از Honeypot هاي با تعامل زياد، در ادامه به توضيح Decoy Server خواهيم پرداخت.
مثالي از Honeypot هاي با تعامل زياد: Symantec Decoy Server
Decoy Server يك Honeypot تجاري است كه توسط Symantec توليد شده و به فروش مي­رسد. اين سيستم به عنوان يك Honeypot كه با تعامل زياد است، سيستم عاملها و يا سرويسها را شبيه سازي نمي­كند، بلكه سيستمهاي حقيقي و برنامه هاي حقيقي را براي برقراري تعامل با مهاجمان ايجاد مي­كند. در حال حاضر Decoy Server صرفا روي سيستم عامل Solaris كار مي­كند. اين برنامه ، نرم افزاري است كه روي يك سيستم Solaris نصب مي­شود. سپس اين نرم افزار سيستم ميزبان موجود را در اختيار گرفته و تا چهار «قفس» يكتا ايجاد مي­كند، كه هر قفس يك Honeypot است. هر قفس يك سيستم عامل جدا و سيستم فايل مخصوص به خود را داراست. مهاجمان درست مانند سيستم عاملهاي واقعي با اين قفسها ارتباط برقرار مي­كنند. چيزي كه مهاجمان درك نمي­كنند اين است كه هر فعاليت و هر ضربه صفحه كليد آنها توسط Honeypot ثبت و ضبط مي­شود.

Honeypot هاي با تعامل كم در مقايسه با Honeypot هاي با تعامل زياد

• در هنگام انتخاب Honeypot توجه داشته باشيد كه هيچ يك از اين دو نوع از ديگري بهتر نيستند. بلكه هر يك داراي مزايا و معايبي بوده و براي كاري بهتر مي­باشند.
  مزايا و معايب Honeypot هاي با تعامل كم و Honeypot هاي با تعامل زياد را مي­توان به شرح زير بيان كرد: Honeypot هاي با تعامل كم (شبيه سازي كننده سيستم عاملها و سرويسها)
• پياده سازي و به كار گيري آسان: معمولا به سادگي نصب يك نرم افزار روي يك كامپيوتر است
• ريسك كم: سرويسهاي شبيه سازي شده كارهايي كه مهاجمان مي­توانند يا نمي­توانند انجام دهند را كنترل مي­كنند.
• جمع آوري اطلاعات محدود: از آنجاييكه در اين دسته از Honeypot ها مهاجمان مجاز به تعامل در حد محدودي هستند، اطلاعات محدودي نيز مي­توان راجع به آنها بدست آورد.
  Honeypot هاي با تعامل زياد (بدون شبيه سازي، با استفاده از سيستم عاملها و سرويسهاي حقيقي)
• نصب و به كار گيري آنها مي­تواند سخت باشد (نسخه هاي تجاري ساده ترند)
• ريسك بالا. اين موضوع كه مهاجمان با سيستم عاملهاي واقعي روبرو مي­شوند كه مي­توانند با آن به تعامل بپردازند مزايا و معايب خاص خود را داراست.

سازمانهاي مختلف، اهداف متفاوتي دارند و به همين دليل از Honeypot هاي مختلفي نيز استفاده مي­كنند. يك روال معمول اين است كه سازمانهاي تجاري مانند بانكها، خرده فروشان، و توليد كننده ها، Honeypot هاي با تعامل كم را به علت ريسك پايين، به كار گيري آسان، و نگهداري ساده، ترجيح مي­دهند. استفاده از Honeypot هاي با تعامل زياد نيز در ميان سازمانهايي كه به قابليتهاي منحصر به فرد راه حلهاي با تعامل زياد و مديريت ريسك احتياج دارند معمول تر است. از جمله اين سازمانها مي­توان به سازمانهاي نظامي، دولتي، و آموزشي اشاره كرد.