IRCAR200912043
هاني پات ها يك تكنولوژي تقريبا جديد و شديدا پويا هستند. همين ماهيت پويا باعث ميشود كه به راحتي نتوان آنها را تعريف كرد. Honeypot ها به خودي خود يك راه حل به شمار نرفته و هيچ مشكل امنيتي خاصي را حل نميكنند، بلكه ابزارهاي بسيار انعطاف پذيري هستند كه كارهاي مختلفي براي امنيت اطلاعات انجام ميدهند.
اين تكنولوژي با تكنولوژيهايي مانند فايروالها و سيستمهاي تشخيص نفوذ (IDS) متفاوت است، چرا كه اين تكنولوژيها مسائل امنيتي خاصي را حل كرده و به همين دليل راحتتر تعريف ميشوند. فايروالها يك تكنولوژي پيشگيرانه به شمار مي آيند، آنها از ورود مهاجمان به شبكه يا سيستم كامپيوتر جلوگيري ميكنند. IDS ها يك تكنولوژي تشخيصي هستند. هدف آنها اين است كه فعاليتهاي غير مجاز يا خرابكارانه را شناسايي كرده و درباره آنها به متخصصان امنيت هشدار دهند. تعريف Honeypot ها كار سخت تري است، چرا كه آنها ممكن است در پيشگيري، تشخيص، جمع آوري اطلاعات، و كارهاي ديگري مورد استفاده قرار گيرند. شايد بتوان يك Honeypot را به اين صورت تعريف كرد:
«Honeypot يك سيستم اطلاعاتي است كه ارزش آن به استفاده غير مجاز و ممنوع ديگران از آن است.»
اين تعريف به وسيله اعضاي ليست ايميل Honeypot انجام شده است. ليست ايميل Honeypot يك فروم متشكل از بيش از 5000 متخصص امنيت است. از آنجاييكه Honeypot ها در اشكال و اندازه هاي مختلفي وجود دارند، ارائه تعريف جامعي از آن كار بسيار سختي است. تعريف يك Honeypot نشان دهنده نحوه كار آن و يا حتي هدف آن نيست. اين تعريف صرفا ناظر به نحوه ارزش گذاري يك Honeypot است. به عبارت ساده تر، Honeypot ها يك تكنولوژي هستند كه ارزش آنها به تعامل مجرمان با آنها بستگي دارد. تمامي Honeypot ها بر اساس يك ايده كار ميكنند: هيچكس نبايد از آنها استفاده كند و يا با آنها تعامل برقرار نمايد، هر تعاملي با Honeypot غير مجاز شمرده شده و نشانه اي از يك حركت خرابكارانه به شمار ميرود.
يك Honeypot سيستمي است كه در شبكه سازمان قرار ميگيرد، اما براي كاربران آن شبكه هيچ كاربردي ندارد و در حقيقت هيچ يك از اعضاي سازمان حق برقراري هيچگونه ارتباطي با اين سيستم را ندارند. اين سيستم داراي يك سري ضعفهاي امنيتي است. از آنجاييكه مهاجمان براي نفوذ به يك شبكه هميشه به دنبال سيستمهاي داراي ضعف ميگردند، اين سيستم توجه آنها را به خود جلب ميكند. و با توجه به اينكه هيچكس حق ارتباط با اين سيستم را ندارد، پس هر تلاشي براي برقراري ارتباط با اين سيستم، يك تلاش خرابكارانه از سوي مهاجمان محسوب ميشود. در حقيقت اين سيستم نوعي دام است كه مهاجمان را فريب داده و به سوي خود جلب ميكند و به اين ترتيب علاوه بر امكان نظارت و كنترل كار مهاجمان، اين فرصت را نيز به سازمان ميدهد كه فرد مهاجم را از سيستمهاي اصلي شبكه خود دور نگه دارند.
يك Honeypot هيچ سرويس واقعي ارائه نميدهد. هر تعاملي كه انجام گيرد، هر تلاشي كه براي ورود به اين سيستم صورت گيرد، يا هر فايل داده اي كه روي يك Honeypot مورد دسترسي قرار گيرد، با احتمال بسيار زياد نشانه اي از يك فعاليت خرابكارانه و غير مجاز است. براي مثال، يك سيستم Honeypot ميتواند روي يك شبكه داخلي به كار گرفته شود. اين Honeypot از هيچ ارزش خاصي برخوردار نيست و هيچكس در درون سازمان نيازي به استفاده از آن نداشته و نبايد از آن استفاده كند. اين سيستم ميتواند به ظاهر يك فايل سرور، يك وب سرور، يا حتي يك ايستگاه كاري معمولي باشد. اگر كسي با اين سيستم ارتباط برقرار نمايد، با احتمال زياد در حال انجام يك فعاليت غير مجاز يا خرابكارانه است.
در حقيقت، يك Honeypot حتي لازم نيست كه حتما يك كامپيوتر باشد. اين سيستم ميتواند هر نوع نهاد ديجيتالي باشد (معمولا از آن به Honeytoken ياد ميشود) كه هيچ ارزش واقعي ندارد. براي مثال، يك بيمارستان ميتواند يك مجموعه نادرست از ركوردهاي اطلاعاتي بيماران ايجاد نمايد. از آنجاييكه اين ركوردها Honeypot هستند، هيچكس نبايد به آنها دسترسي پيدا كرده يا با آنها تعامل برقرار كند. اين ركوردها ميتوانند در داخل پايگاه داده بيماران اين بيمارستان به عنوان يك جزء Honeypot قرار گيرند. اگر يك كارمند يا يك فرد مهاجم براي دسترسي به اين ركوردها تلاش نمايد، ميتواند به عنوان نشانه اي از يك فعاليت غير مجاز به شمار رود، چرا كه هيچكس نبايد از اين ركوردها استفاده كند. اگر شخصي يا چيزي به اين ركوردها دسترسي پيدا كند، يك پيغام هشدار صادر ميشود. اين ايده ساده پشت Honeypot هاست كه آنها را ارزشمند ميكند.
دو يا چند Honeypot كه در يك شبكه قرار گرفته باشند، يك Honeynet را تشكيل ميدهند. نوعا در شبكه هاي بزرگتر و متنوعتر كه يك Honeypot به تنهايي براي نظارت بر شبكه كافي نيست، از Honeynet استفاده ميكنند. Honeynet ها معمولا به عنوان بخشي از يك سيستم بزرگ تشخيص نفوذ پياده سازي ميشوند. در حقيقت Honeynet يك شبكه از Honeypot هاي با تعامل بالاست كه طوري تنظيم شده است كه تمامي فعاليتها و تعاملها با اين شبكه، كنترل و ثبت ميشود.
مزاياي استفاده از Honeypot
- Honeypot ها صرفا مجموعه هاي كوچكي از داده ها را جمع آوري ميكنند. Honeypot ها فقط زماني كه كسي يا چيزي با آنها ارتباط برقرار كند داده ها را جمع آوري مينمايند، در نتيجه صرفا مجموعه هاي بسيار كوچكي از داده ها را جمع ميكنند، كه البته اين داده ها بسيار ارزشمندند. سازمانهايي كه هزاران پيغام هشدار را در هر روز ثبت ميكنند، با استفاده از Honeypot ها ممكن است فقط صد پيغام هشدار را ثبت نمايند. اين موضوع باعث ميشود كه مديريت و تحليل داده هاي جمع آوري شده توسط Honeypot ها بسيار ساده تر باشد.
- Honeypot ها موارد خطاهاي تشخيص اشتباه را كاهش ميدهند. يكي از مهمترين چالشهاي اغلب سيستمهاي تشخيصي اين است كه پيغامهاي هشدار دهنده خطاي زيادي توليد كرده و در موارد زيادي، اين پيغامهاي هشدار دهنده واقعا نشان دهنده وقوع هيچ خطري نيستند. يعني در حالي يك رويداد را تهديد تشخيص ميدهند كه در حقيقت تهديدي در كار نيست. هر چه احتمال اين تشخيص اشتباه بيشتر باشد، تكنولوژي تشخيص دهنده بي فايده تر ميشود. Honeypot ها به طور قابل توجهي درصد اين تشخيصهاي اشتباه را كاهش ميدهند، چرا كه تقريبا هر فعاليت مرتبط با Honeypot ها به طور پيش فرض غير مجاز تعريف شده است. به همين دليل Honeypot ها در تشخيص حملات بسيار موثرند.
- Honeypot ها ميتوانند حملات ناشناخته را تشخيص دهند. چالش ديگري كه در تكنولوژيهاي تشخيصي معمول وجود دارد اين است كه آنها معمولا حملات ناشناخته را تشخيص نميدهند. اين يك تفاوت بسيار حياتي و مهم بين Honeypot ها و تكنولوژيهاي امنيت كامپيوتري معمولي است كه بر اساس امضاهاي شناخته شده يا داده هاي آماري تشخيص ميدهند. تكنولوژيهاي تشخيصي مبتني بر امضا، در تعريف به اين معنا هستند كه ابتدا بايد هر حمله اي حداقل يك بار انجام شده و امضاي آن شناسايي گردد و سپس با استفاده از آن امضا، در موارد بعدي شناخته شود. تشخيص مبتني بر داده هاي آماري نيز از خطاهاي آماري رنج ميبرد. Honeypot ها طوري طراحي شده اند كه حملات جديد را نيز شناسايي و كشف ميكنند. چرا كه هر فعاليتي در ارتباط با Honeypot ها غير معمول شناخته شده و در نتيجه حملات جديد را نيز معرفي ميكند.
- Honeypot ها فعاليتهاي رمز شده را نيز كشف ميكنند. حتي اگر يك حمله رمز شده باشد، Honeypot ها ميتوانند اين فعاليت را كشف كنند. به تدريج كه تعداد بيشتري از سازمانها از پروتكلهاي رمزگذاري مانند SSH، IPsec، و SSL استفاده ميكنند، اين مساله بيشتر خود را نشان ميدهد. Honeypot ها ميتوانند اين كار را انجام دهند، چرا كه حملات رمز شده با Honeypot به عنوان يك نقطه انتهايي ارتباط، تعامل برقرار ميكنند و اين فعاليت توسط Honeypot رمز گشايي ميشود.
- Honeypot با IPv6 كار ميكند. اغلب Honeypot ها صرف نظر از پروتكل IP از جمله IPv6، در هر محيط IP كار ميكنند. IPv6 يك استاندارد جديد پروتكل اينترنت (IP) است كه بسياري از سازمانها در بسياري از كشورها از آن استفاده ميكنند. بسياري از تكنولوژيهاي فعلي مانند فايروالها و سنسورهاي سيستم تشخيص نفوذ به خوبي با IPv6 سازگار نشده اند.
- Honeypot ها بسيار انعطاف پذيرند. Honeypot ها بسيار انعطاف پذيرند و ميتوانند در محيطهاي مختلفي مورد استفاده قرار گيرند. همين قابليت انعطاف Honeypot هاست كه به آنها اجازه ميدهد كاري را انجام دهند كه تعداد بسيار كمي از تكنولوژيها ميتوانند انجام دهند: جمع آوري اطلاعات ارزشمند به خصوص بر عليه حملات داخلي.
- Honeypot ها به حداقل منابع نياز دارند. حتي در بزرگترين شبكه ها، Honeypot ها به حداقل منابع احتياج دارند. يك كامپيوتر پنتيوم قديمي و ساده ميتواند ميليونها آدرس IP يا يك شبكه OC-12 را نظارت نمايد.
معايب استفاده از Honeypot
Honeypot ها نيز مانند هر تكنولوژي ديگري معايبي دارند. آنها براي اين طراحي نشده اند كه جاي هيچ تكنولوژي خاصي را بگيرند.
- Honeypot ها داراي يك محدوده ديد كوچك و محدود هستند. Honeypot ها فقط همان كساني را ميبينند كه با آنها به تعامل ميپردازند. در نتيجه حملات بر عليه ساير سيستمها و يا تعاملات انجام شده با ساير سيستمها را مشاهده نميكنند. اين نكته در عين حال كه يك مزيت است، يك عيب نيز به شمار ميرود. يك Honeypot به شما نميگويد كه سيستم ديگري مورد سوء استفاده قرار گرفته است، مگر اينكه سيستمي كه مورد سوء استفاده قرار گرفته با خود Honeypot تعاملي برقرار نمايد. براي برطرف كردن اين عيب راههاي زيادي وجود دارد كه از طريق آنها ميتوانيد فعاليت مهاجمان را به سمت Honeypot ها تغيير مسير دهيد. از اين ميان ميتوان به Honeytoken ها و تغيير مسير اشاره كرد.
- ريسك هر زمان كه شما يك تكنولوژي جديد را به كار ميگيريد، آن تكنولوژي ريسكهاي مخصوص به خود را نيز به همراه دارد، مثلا اين ريسك كه يك مهاجم بر اين سيستم غلبه كرده و از آن به عنوان ابزاري براي حملات بر عليه اهداف داخلي و خارجي استفاده نمايد. حتي سيستمهاي تشخيص نفوذ كه هيچ پشته IP به آنها تخصيص داده نشده است نيز ميتوانند در معرض خطر قرار داشته باشند. Honeypot ها نيز در اين مورد استثناء نيستند. Honeypot هاي مختلف سطوح خطر متفاوتي دارند. راههاي مختلفي نيز براي كاهش اين خطرات وجود دارد. از ميان انواع Honeypot ها، هاني نتها بيشترين سطح خطر را دارا هستند.
مقالات مرتبط:
انواع Honeypot
- 4