فا

‫ گامهاي راه اندازي و به كارگيري يك Honeypot

IRCAR201010076

پيش از اين در پنج مقاله «Honeypot چيست؟»، «انواع Honeypot»، «كاربردهاي Honeypot ها»، «مكانيزم­هاي جمع آوري اطلاعات در Honeypot ها» و «مكانيزم­هاي تحليل اطلاعات در Honeypot ها» به معرفي اجمالي Honeypot ها، كاربردهاي اين سيستم­ها و روش­هاي جمع آوري وتحليل اطلاعات در اين سيستم­ها پرداختيم. در اين مقاله گام­هاي راه اندازي و به كار گيري Honeypot ها را مورد بررسي قرار خواهيم داد.

به كار گيري يك Honeypot فيزيكي مي­تواند بسيار زمان­بر و گران تمام شود، چرا كه سيستم عامل­هاي مختلف ممكن است به سخت افزارهاي خاصي نياز داشته باشند. به علاوه، هر Honeypot به سيستم فيزيكي خاص خود و حجم زيادي از تنظيمات پيكربندي احتياج دارد. در ادامه، گام­هاي عمومي براي به كار گيري يك Honeypot اوليه را بيان مي­كنيم. اين گام­ها، تا حدي به انواع دستگاه­هاي شبكه، ابزارها و برنامه هاي نرم‌افزاري كه در اختيار ما است، بستگي دارد.

1- انتخاب سخت افزار براي ميزبان
نخستين گام براي راه اندازي يك Honeypot، پيدا كردن كامپيوتري است كه شما مي­خواهيد آن را در معرض حملات هكرها و سوء استفاده قرار دهيد و بايد از هر داده ارزشمندي خالي شده باشد. اين سيستم، مي­تواند هر كامپيوتري باشد كه قادر به اجراي نرم‌افزار جمع آوري و كنترل داده ها باشد.
2- نصب سيستم عامل
گام بعدي شامل ايجاد تغييرات لازم بر روي سيستم عامل فعلي، يا نصب يك سيستم عامل جديد بر روي كامپيوتر انتخاب شده است. نصب كردن يك سيستم عامل جديد، به شما امكان مي­دهد كه به بهترين شكل در مورد آسيب پذيري­هايي كه مايليد بر روي سيستم وجود داشته باشد، تصميم گيري نماييد.
اگر تصميم گرفته ايد كه سيستم عامل فعلي را بر روي Honeypot خود نگه داريد، بايد از خطرات سوء استفاده مهاجمان از اين سيستم به عنوان يك Honeypot آگاه باشيد. براي مثال، ممكن است اطلاعات حساسي در مورد خود شما يا شخص ديگري بر روي اين سيستم وجود داشته باشد. اين اطلاعات مي­توانند در طول مدت استفاده از اين سيستم به عنوان Honeypot خراب شده، حذف شده و يا به سرقت روند. اگر قصد داريد پيكربندي سيستم عامل فعلي را نگه داريد، بهتر است تنظيمات جديدي را براي جلب ترافيك مشكوك به آن اضافه كنيد. برخي روال­هاي معمول براي جذابتر كردن يك Honeypot عبارتند از باز كردن پورت­هاي آسيب پذير شناخته شده، راه اندازي سرويس­هاي آسيب پذير شناخته شده، ايجاد درايوهاي اشتراكي شبكه، استفاده از كلمات عبور و نام­هاي كاربري ضعيف، و غير فعال كردن نرم افزارهاي آنتي ويروس و فايروال.
اگر تصميم گرفته ايد هارد را فرمت كرده و از ابتدا به نصب يك سيستم عامل جديد بپردازيد، انعطاف پذيري و تعداد گزينه ها براي تنظيم Honeypot افزايش مي يابد. ديگر لازم نيست در مورد افشاي اطلاعات حساسي كه از قبل بر روي هارد ميزبان وجود داشته است، نگران باشيد. اگر تصميم داريد اين مسير را طي كنيد، ممكن است به برخي از ابزارهاي معمول احتياج داشته باشيد. از جمله اين ابزارها، يك ابزار پاك كردن ديسك مانند WIPE، يك ديسك راه انداز براي ايجاد پارتيشن­ها و پارتيشن بندي مجدد هارد ديسك، ديسك­هاي نصب سيستم عامل، و هر نرم‌افزار يا برنامه ديگري است كه مي­خواهيد بر روي اين سيستم وجود داشته باشد. به خاطر داشته باشيد كه ساير بسته هاي نرم‌افزاري ممكن است حاوي آسيب‌پذيري­هايي باشند كه براي فرد نفوذگر مفيد باشند.
3- معماري شبكه
گام سوم شامل مشخص كردن معماري استراتژيك شبكه است. اين شبكه بايد طوري طراحي شده باشد كه جمع آوري و ثبت داده‌ها براي تحليل، و نيز جلوگيري از دسترسي به ساير سيستم­هاي موجود بر روي LAN، به بهترين شكل ممكن باشد. شما بايد اجزاي شبكه خود را به شكل استراتژيك به يكديگر متصل كنيد تا بتوانيد به خوبي در مورد بخش­هايي از شبكه كه ترافيك نفوذگر حق ورود به آن را داراست و بخش­هايي از شبكه كه بايد از دسترس فرد نفوذگر مصون بماند، تصميم گيري نماييد. اين كار را بايد با تعيين انواع اجزاي شبكه (مانند فايروال­ها، سيستم­هاي تشخيص نفوذ، ساير سيستم­هاي محلي، مودم­هاي كابلي يا DSL و ميزبان جمع آوري كننده داده ها) انجام دهيد. در زير، دو نمونه معماري شبكه مورد استفاده در به كارگيري Honeypot را مشاهده مي­كنيد.

دو نمونه معماري شبكه مورد استفاده در به كار گيري Honeypot
4- هشدارها و تشخيص نفوذ
چهارمين گام، مشخص كردن اين است كه چگونه مي­خواهيد هشدارها را در زماني كه Honeypot با فعاليت­هاي خرابكارانه اي مانند اسكن كردن پورت­ها، اتصال به اشتراك شبكه، يا ساير ترافيك­هاي خرابكار روبرو شده است، بررسي كرده، ثبت و دريافت نماييد و در نهايت فعاليت Honeypot را كنترل كنيد. Snort و Ethereal برنامه هاي رايگاني هستند كه از طريق اينترنت قابل دسترسي هستند. نصب Ethereal بسيار ساده است، اما نصب Snort ممكن است براي برخي افراد كمي سخت باشد. براي تحليل كامل ترافيك، نصب كل بسته گزارش­گيري Snort/ACID توصيه مي­شود. كل اين بسته را مي­توان از سايت www.winSnort.com دانلود كرد. پيكربندي Ethereal براي نظارت بر ترافيك ورودي و خروجي شبكه به Honeypot، كار ساده اي است. شكل زير نشان دهنده اين است كه چگونه مي­توانيد يك فيلتر ساده را در Ethereal براي كنترل يك ميزبان پيكربندي نماييد.
پيكربندي Snort براي كنترل ترافيك ورودي و خروجي شبكه به Honeypot، در مقايسه با پيكربندي مجموعه قوانين Snort ساده است. توجه داشته باشيد كه پيكربندي اين سيستم تشخيص نفوذ بدون اطلاع از گزينه هاي قوانين Snort نبايد انجام شود. Snort مجموع بزرگي از قوانين دارد كه شما مي­توانيد آنها را تغيير داده، اضافه يا حذف نماييد و به اين ترتيب حجم خطاهاي تشخيص اشتباه را كاهش دهيد.
مقالات مرتبط:
مكانيزم­هاي تحليل اطلاعات در Honeypot ها

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 18 مرداد 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها: 0