آموزش رایگان دوره CEH همگام با سرفصل‌های بین‌المللی – 65
01/06/1399 - 12:35
آموزش CEH (هکر کلاه سفید): هانی‌پات ابزار قدرتمندی در زمینه مقابله با حملات هکری
هانی‌پات یک سامانه کامپیوتری یا ترکیبی از سامانه‌های کامپیوتری است که اطلاعات کاذبی درون آن‌ها قرار دارد و برای مقابله با هکرها و کشف و جمع‌آوری فعالیت‌های غیرمجاز در شبکه‌های کامپیوتری در شبکه‌ها استفاده می‌شود. هانی‌پات‌ها با هدف به دام انداختن هکرها و بررسی رفتارهای آن‌ها در شبکه‌های سازمانی پیاده‌سازی می‌شود. هانی‌پات‌های اولیه عمدتا با هدف شناسایی هکرها استفاده می‌شدند، اما امروزه هانی‌پات‌ها با هدف به دام انداختن بدافزارها استفاده می‌شوند.

برای مطالعه قسمت قبل آموزش رایگان  دوره CEH اینجا کلیک کنید.

هانی‌پات

هانی‌پات (Honeypot) یک سامانه کامپیوتری یا ترکیبی از سامانه‌های کامپیوتری است که اطلاعات کاذبی درون آن‌ها قرار دارد و برای مقابله با هکرها و کشف و جمع‌آوری فعالیت‌های غیرمجاز در شبکه‌های کامپیوتری در شبکه‌ها استفاده می‌شود. هانی‌پات‌ها با هدف به دام انداختن هکرها و بررسی رفتارهای آن‌ها در شبکه‌های سازمانی پیاده‌سازی می‌شود. هانی‌پات‌های اولیه عمدتا با هدف شناسایی هکرها استفاده می‌شدند، اما امروزه هانی‌پات‌ها با هدف به دام انداختن بدافزارها استفاده می‌شوند.

روزانه اطلاعات با ارزشی از قبیل شماره‌های حساب بانکی، حساب‌های کاربری، گذرواژه‌ها به سرقت می‌روند و خسارت‌های مالی زیادی به شرکت‌های بزرگ وارد می‌شود. در این زمینه شرکت‌ها و توسعه‌دهندگان نرم‌افزارهای امنیتی تصمیم گرفتند جلوی این مدل حملات را بگیرند و هکرها را از دسترسی به شبکه‌ها و اطلاعات سازمانی منحرف کنند. اطلاعات نادرست و گمراه‌کننده بهترین طعمه برای فریب هکرها است. برنامه‌نویسان برای انجام این‌کار گونه خاصی از بنامه‌ها را طراحی کردند تا نفوذگران را گمراه کرده و به دام اندازند. این برنامه‌ها با دادن اطلاعات نادرست به هکرها، باعث می‌شوند هکر فکر کند که  اطلاعات کامل و بی عیبی دست پیدا کرده است. این برنامه‌های اغواکننده هانی‌پات نام دارند.

هانی‌پات یک منبع سیستم اطلاعاتی است که میزبان اطلاعات کاذب و غیرواقعی است و با استفاده از اطلاعات کاذب سعی می‌کند فعالیت‌های غیرمجاز و غیرقانونی روی شبکه را کشف و جمع‌آوری کند. به زبان ساده هانی‌پات یک سیستم یا سیستم‌های کامپیوتری متصل به شبکه یا اینترنت است که دارای اطلاعات کاذب است. هانی‌پات‌ها به شیوه هوشمندانه‌ای در شبکه‌ها مستقر می‌شوند تا به عنوان یک تله عمل کرده و هکر را ترغیب کنند تا به هانی‌پات حمله کند. هانی‌پات‌ها با استفاده از اطلاعات غیر واقعی هکرها را فریب می‌دهند و اطلاعاتی از نحوه ورود آن‌ها به شبکه و اهدافی که در شبکه دنبال می‌کنند، جمع‌آوری می‌کند.

دلایل به‌کارگیری هانی‌پات

از مهم‌ترین دلایل به‌کارگیری هانی‌پات‌ها در شبکه یک سازمان به موارد زیر می‌توان اشاره کرد:

پیشگیری: با منابع و اطلاعات غیر معتبری که در اختیار حمله‌کنندگان قرار می‌دهند، در واقع از در خطر قرار گرفتن سیستم واقعی جلوگیری می‌شود و این یک عمل پیشگیرانه است.

کشف: در اغلب شبکه‌های موجود در سازمان‌ها، فعالیت محصولات دارای پیچیدگی فراوانی هستند که کشف حملات را مشکل می‌سازد. حال آن‌که در هانی‌پات این پیچیدگی وجود ندارد و جریان‌های ورود و خروج به آن کاملاً روشن است.

واکنش: فعالیت‌های انجام شده توسط تجهیزات مختلف باعث می‌شود تیم پاسخگویی به حوادث نتواند به درستی تشخیص دهد که چه اتفاقی افتاده ‌است. از طرف دیگر در اغلب مواقع تیم پاسخگویی به مشکلات قادر نیست اطلاعاتی از سیستم در معرض خطر قرار گرفته، جمع‌آوری کند ولی برای سیستم هانی‌پات چنین محدودیتی وجود ندارد.

پژوهش: یکی از مهم‌ترین مباحث در مبحث امنیت، گردآوری اطلاعات در ارتباط با حمله‌کننده است. هانی‌پات به عنوان یک ابزار تحقیقاتی کمک فراوانی به سازمان‌های پژوهشی و دانشگاهی می‌کند.

هانی‌پات‌ها چگونه کار می‌کنند؟

با توجه به اینکه منابع هانی‌پات فاقد ارزش هستند، بنابراین هرگونه فعالیت در آن، غیرمجاز، مشکوک و مخرب فرض می‌شود. یک هانی‌پات ممکن است یک کامپیوتر ‌اضافی در یک شبکه باشد و طوری پیاده‌سازی ‌شود که اغلب نقاط ضعف شبکه را شبیه‌سازی کند. وقتی یک هکر، شبکه‌ها را برای یافتن نقاط ضعف پویش می‌کند با پیدا کردن نقاط آسیب‌پذیر به هانی‌پات حمله می‌کند. هانی‌پات با ارسال هشداری این موضوع را به مدیر امنیتی شبکه اطلاع می‌دهد تا اقدام لازم همچون جمع‌آوری اطلاعات را انجام دهد.

هانی‌پات‌ها به چند گروه تقسیم می‌شوند؟

هانی‌پات‌ها را می‌توان بر اساس به‌کارگیری و سطح تعامل طبقه‌بندی کرد. بر این اساس هانی‌پات‌ها به دو شکل تجاری و پژوهشی در دسترس هستند:

هانی‌پات‌های تجاری: این نوع سیستم وقتی که سازمان در نظر دارد شبکه و سامانه‌هایش را با کشف و مسدود کردن نفوذگران حفاظت کند و نفوذگر را از طریق قانونی تحت پیگرد قرار دهد یا اثر مثبت و مستقیم ابزارهای امنیتی را بررسی کند از یک هانی‌پات تجاری استفاده می‌کند. این اثرات شامل جلوگیری، حفاظت و پاسخگویی به حملات هستند. از آن‌جایی که این نوع از هانی‌پات‌ها نقش عملیاتی کمی دارند، پیاده‌سازی آن‌ها ساده‌ است، در نتیجه اطلاعات زیادی در مورد حمله‌کننده‌ها و حملات، جمع‌آوری نمی‌کنند.

هانی‌پات‌های پژوهشی: این نوع سیستم وقتی که سازمان در نظر دارد تنها امنیت شبکه و سیستم‌های خود را با آموختن روش‌های نفوذ، منشأ نفوذ، ابزارها و اکسپلویت‌های مورد استفاده هکرها مستحکم‌تر کند، استفاده می‌شوند. این نوع هانی‌پات‌ها برای جمع‌آوری اطلاعات درباره حمله‌کننده‌ها پیاده‌سازی می‌شود و با مطالعه الگوی رفتاری هکرها مکانیزم‌های امنیتی را بررسی می‌کنند.

در تعامل با هانی‌پات‌ها یک توازن میان مقدار داده‌های گردآوری شده و مقدار صدمات وارد شده توسط مهاجم وجود دارد. به بیان دقیق‌تر، هر چه وسعت خرابی و صدمات بیشتر باشد، اطلاعات بیشتر و مفیدتری می‌تواند گردآوری شود. هانی‌پات‌ها از لحاظ واکنشی(Interaction) به سه دسته کم واکنش، میان واکنش و پر واکنش تقسیم‌بندی می‌شوند:

یک هانی‌پات کم واکنش ویژگی‌های زیر را دارد:

•           نصب آسان

•           پیکربندی ساده

•           قابلیت توسعه

•           نگهداری ساده

•           خطرپذیری کم

این گروه از هانی‌پات‌ها اطلاعات زیر را جمع‌آوری می‌کنند:

•           ساعت و تاریخ حمله

•           آدرس آی‌پی مبدأ و پورت مبدأ حمله

•           آدرس آی‌پی مبدأ و پورت مقصد حمله

هانی‌پات با تعامل کم، تعامل محدودی برقرار می‌کنند. آن‌ها معمولاً با سرویس‌ها و سیستم‌عامل‌های شبیه‌سازی شده کار می‌کنند. فعالیت نفوذگر از طریق سطح نمونه‌سازی به وسیله هانی‌پات‌ها محدود می‌شود. یک هانی‌پات میان واکنش در واقع یک سیستم تکامل یافته و دارای ویژگی‌های زیر است:

•           نصب آسان

•           پیکربندی مطابق نظر سازمان

•           قابلیت توسعه

•           نگهداری ساده

•           خطرپذیری بیشتر از کم واکنش

•           دارای واکنش بیشتر با حمله‌کننده

این دسته از هانی‌پات‌ها، علاوه بر قابلیت‌های کم واکنش، قابلیت‌های دیگری شبیه به ایجاد یک سیستم‌عامل مجازی در محیط یک سیستم‌عامل واقعی ارائه می‌کنند، به‌طوری‌که از دید هکر رفتار آن مانند یک سیستم حقیقی است. در چنین شرایطی زمانی که مهاجم کنترل سیستم‌عامل مجازی را به دست گرفت تمام اعمال او تحت نظر قرار می‌گیرد.

یک هانی‌پات پر واکنش، اغلب از نوع پژوهشی و دارای ویژگی‌های زیر است:

•           ایجاد سیستم واقعی

•           هزینه بالا

•           پیکر بندی و مدیریت پیچیده

•           خطرپذیری بسیار بالا

•           داده‌های گرد آوری شده زیاد و با ارزش

این دسته از هانی‌پات‌ها، با هدف درگیر کردن مهاجم با یک محیط واقعی پیاده‌سازی می‌شوند و قابلیت‌های زیر را ارائه می‌کنند:

•           شناسایی و ثبت ابزار مهاجم

•           مانیتور کردن فعالیت‌های هکر

•           دریافتن ارتباط هکر با سایرین

همان‌گونه که به مهاجم این اجازه داده می‌شود تا با محیط واقعی سیستم‌عامل در تعامل باشد، این خطر نیز وجود دارد که مهاجم از طریق هانی‌پات به کامپیوترهای دیگر در شبکه، آسیب برساند. برای جلوگیری از این امر لازم است هانی‌پات پر واکنش در محیطی کنترل شده پیاده‌سازی شود. با این حال، بهترین روش مطالعه بدافزارها و هکرها در جهت تجزیه و تحلیل هانی‌پات‌های پر واکنش هستند. هانی‌پات با تعامل زیاد به خاطر سر و کار داشتن با سیستم‌عامل و برنامه‌های کاربردی واقعی راه‌حل‌های پیچیده‌تری هستند. هیچ چیز نمونه‌سازی نمی‌شود و هر چیز واقعی در اختیار هکر است.

مزایای هانی‌پات

از مهم‌ترین مزایای هانی‌پات‌ها به موارد زیر می‌توان اشاره کرد:

سادگی: مزیت اولیه هانی‌پات سادگی آن است. کافی است آن‌را به یک شبکه متصل کنیم، اساساً به دلیل بی‌ارزش بودن منابع آن هر گونه نفوذ و فعالیت در فضای آن مخرب در نظر گرفته می‌شوند.

ارزش داده‌ها: در یک شبکه واقعی به دلیل فعالیت جاری سیستم، اطلاعات به‌دست آمده در زمان حمله و تهدید، مخلوطی از داده‌های عادی و تخاصمی و دارای حجم زیادی است، حال آن‌که در هانی‌پات ضمن کم حجم بودن داده‌ها، اطلاعات مهم در معرض خطر قرار نمی‌گیرند.

ابزار، تکنیک‌ها و بدافزارها: هانی‌پات‌ها ممکن است جهت ذخیره‌سازی آن‌چه که مهاجمان دانلود می‌کنند طراحی شده باشند، در این حالت ابزاری که آن‌ها در جهت به‌دست گرفتن کنترل سیستم به کار می‌برند کشف می‌شود.

معایب به‌کارگیری هانی‌پات‌ها

همانند هر فناوری دیگر، هانی‌پات نیز دارای نقاط ضعفی است. با وجود مزایای شناخته شده، هانی‌پات جایگزین سایر فناوری‌ها نمی‌شود و معایب زیر را دارد:

محدودیت رویت: هانی‌پات‌ها قادر به گزارش آن دسته از رویدادهایی هستند که به صورت مستقیم با آن روبرو می‌شوند. در نتیجه اگر شبکه‌ای خارج از دید آن مورد حمله قرار گیرد، هانی‌پات از اتفاقات آن بی‌خبر است و قابل ردیابی نیست.

اثر انگشت: نقطه ضعف دیگر هانی‌پات قابلیت ردیابی شدن آن است. این ضعف به خصوص برای نوع پژوهشی بیشتر است. هکرهای حرفه‌ای با ردیابی و شناخت هانی‌پات در یک شبکه، داده‌های اشتباه و گمراه‌کننده را به آن می‌دهند که باعث اتخاذ تصمیمات غلط مدیران امنیتی در مقابله با رویداد می‌شود.

خطر پذیری: گاهی ممکن است مهاجم، از طریق یک هانی‌پات مورد حمله قرار گرفته بتواند به شبکه اصلی نفوذ کند. در نوع تجاری این امکان کمتر و در پژوهشی بیشتر است.

چند نمونه از هانی‌پات‌های معروف

BOF: یک هانی‌پات کم واکنش از شرکت NFR security است که روی سیستم‌های ویندوزی نصب می‌شود و تعداد محدودی از سرویس‌ها را تقلید می‌کند. به علت محدود بودن تعداد سرویس‌ها، مهاجمان تحریک می‌شوند با آن تعامل برقرار کنند. این سیستم برای تشخیص حملات Back orifice طراحی شده‌است. Back orifice یک برنامه نفوذی است که سیستم را از راه دور کنترل می‌کند. مانند خیلی از بدافزارها، برنامه روی سیستم دانلود شده و بعد از باز شدن توسط کاربر، روی سیستم نصب می‌شود و سیستم را تحت کنترل مهاجم در می‌آورد. با وجود BOF در سیستم، هر گونه کنترل از راه دور را کشف و آدرس و عملیات مهاجم ثبت می‌شود.

Honeyd: یک هانی‌پات کم واکنش متن باز برای سیستم‌های یونیکسی است که برای کشف حملات و فعالیت‌های غیرمجاز طراحی شده‌است. به علت متن باز بودن قابلیت تنظیم و شبیه‌سازی زیادی برای کاربر فراهم می‌کند. ابزار فوق به جای کشف آدرس مهاجم، به آدرس سیستم‌های نامعتبر توجه می‌کند یعنی با مانیتور کردن آدرس‌های بلا استفاده، به محض آن‌که درخواست ارتباطی از سوی این نوع آدرس‌ها دریافت شد، آن را از سوی مهاجم فرض می‌کند.

Decoy server: یک هانی‌پات پر واکنش از شرکت سیمانتک است که در گذشته Man Trap نامیده می‌شد. یک محیط محصورمانند توسط این هانی‌پات ایجاد می‌شود و مهاجم در این محیط مجازی با امکانات یک سیستم‌عامل محدود مواجه شده و امکان گریز هم ندارد.

هانی‌نت

هانی‌‌نت (Honeynet) یک محصول یا راه‌حل نرم‌افزاری نیست که بتوان روی یک کامپیوتر نصب کرد. هانی‌نت‌ها در واقع یک معماری و یک شبکه بی عیب از کامپیوترهایی هستند که طراحی شده‌اند تا حملاتی روی آن‌ها انجام شود. برای پیاده‌سازی هانی‌نت‌ها به یک معماری نیاز داریم که کنترل بالایی روی شبکه ایجاد کند تا تمامی ارتباطات با شبکه را بتوان زیر نظر گرفت. از ویژگی‌های شاخص هانی‌نت‌ها می‌توان به قابلیت کشف و فریب مهاجمان، پیاده‌سازی یک شبکه واقعی استاندارد که سیستم‌ها در پشت تعدادی از تجهیزات کنترل دسترسی و مانیتور فعالیت‌ها قرار گرفته‌اند، دیواره آتشی است که تمام ارتباطات ورودی/ خروجی را ثبت کرده و سرویس‌های NAT و DOS را حفاظت می‌کنند، ارائه عملکردی شبیه به یک سامانه تشخیص نفوذ و یک کامپیوتر remote syslog اشاره کرد.

در شماره آینده مبحث فوق را ادامه می‌دهیم.

برای مطالعه رایگان تمام بخش‌های دوره CEH  روی لینک زیر کلیک کنید:

آموزش رایگان دوره CEH

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟