فا

‫ مكانيزمهاي جمع آوري اطلاعات در Honeypot ها

IRCAR201010074

پيش از اين در سه مقاله «Honeypot چيست؟»، «انواع Honeypot» و «كاربردهاي Honeypot ها»، به معرفي اجمالي Honeypot ها و كاربردهاي اين سيستم­ها پرداختيم. در اين مقاله مكانيزم­هاي مختلف جمع آوري اطلاعات در Honeypot ها را مورد بررسي قرار خواهيم داد.

جمع آوري اطلاعات در سيستمي كه صرفا به اين منظور طراحي شده است كه مورد سوء استفاده مهاجمان و هكرها قرار گيرد، بايد به صورتي باشد كه علاوه بر اينكه تحليل جدي فعاليت­ها را ممكن مي­سازد، در عين حال مزاحم كار هكرها نيز نگردد. در شبكه هايي كه از Honeypot به منظور تشخيص و تحليل حملات و تهديدات استفاده مي­كنند، داده‌ها مي­توانند در سه نقطه مختلف جمع آوري شوند كه هريك مزايا و معايب خود را داراست. بر اين اساس، سه مكانيزم مختلف براي جمع آوري اطلاعات در Honeypot ها تعريف مي­شود:

 

1- مبتني بر ميزبان 

 داده هايي كه بر روي ميزباني كه مورد سوء استفاده قرار گرفته است جمع آوري مي­شوند، بيشترين پتانسيل را براي ثبت ارتباطات ورودي و خروجي، دستورات وارد شده بر روي ميزبان از طريق خط دستور، و پردازه هاي در حال اجرا دارا هستند. متاسفانه اين روش بيشترين خطر را نيز به همراه دارد. چرا كه فرد نفوذگر معمولا به دنبال لاگ­ها و يا ابزارهاي امنيتي مي­گردد و سعي مي­كند آنها را غيرفعال نمايد تا بتواند حضور خود را پنهان كند. به اين ترتيب، جمع آوري داده ها مي­تواند توسط فرد هكر متوقف شده و يا دستخوش تغيير گردد، به طوري كه نتايج به دست آمده را كاملا مغشوش نمايد. به عنوان مثال­هايي از ابزارهاي مورد استفاده براي ثبت فعاليت بر روي يك Honeypot مي­توان به موارد زير اشاره كرد:

 

  • لاگ­هاي سيستمي سيستم عامل (كه نوعا اولين هدف يك نفوذگر است)
  • سيستم­هاي تشخيص نفوذ با قابليت جمع آوري بسته مانند Snort
  • ابزارهاي جمع آوري و تحليل بسته ها مانند Ethernal

 

2- مبتني بر شبكه

 

يك راه حل امن­تر و در عين حال پيچيده تر براي جمع آوري داده ها اين است كه Honeypot، داده ها را به صورت پنهاني جمع آوري كرده و براي تحليل بيشتر براي يك سرور ديگر ارسال نمايد. اين راه حل به ما اجازه مي­دهد كه داده هاي جمع آوري شده توسط Honeypot را بر روي سيستم ديگري آرشيو كنيم. فرض بر اين است كه اين سرور در برابر حملات مهاجمان ايمن شده است، چرا كه ممكن است فرد نفوذگر متوجه جريان اطلاعات به بيرون از Honeypot شده و سعي كند مكانيزم جمع آوري و ارسال اطلاعات را متوقف نمايد. با استفاده از ابزارهايي مانند Sebek، مي­توانيم سرويس جمع آوري داده را بر روي Honeypot پنهان كنيم و داده ها را از طريق يك ارتباط UDP به يك سرور ديگر ارسال كرده و بر روي آن ذخيره نماييم. Sebek فعاليت فرد نفوذگر را ضبط كرده و به صورت پنهاني آن را به يك سرور در داخل شبكه يا يك سرور در هر جايي بر روي اينترنت ارسال مي­كند. اين موضوع در شكل زير نمايش داده شده است.
جمع آوري اطلاعات مبتني بر شبكه با استفاده از Sebek
   

3- مبتني بر مسيرياب/ دروازه (gateway)

آخرين روش معمول مورد استفاده براي جمع آوري داده ها در سطح gateway، مسيرياب يا فايروال شبكه است. از آنجاييكه يك gateway تمامي داده ها را بين ميزبان­هاي يك شبكه و اينترنت منتقل مي­كند، اين فرصت را براي ما ايجاد مي­كند كه از اين طريق، تمامي ارتباطات و داده هايي را كه از اينترنت به Honeypot‌ هاي ما منتقل مي­شوند، ثبت نماييم. اين مساله داراي خطر بيشتري نسبت به راه حل Sebek  است كه در قسمت قبل توضيح داده شد. چرا كه يك gateway معمولا در شبكه پنهان نيست و در نتيجه خود نيز به هدف حملات مهاجمان تبديل مي­شود. به علاوه، اين روش بيشتر وابسته به سخت افزار است، چرا كه شما به سروري احتياج داريد كه در نقش يك gateway عمل كند. در عين حال، بسياري از gateway هايي كه در مقياس كوچك يا خانگي طراحي مي­شوند، قابليت­هاي عمده اي براي ثبت اطلاعات ندارند و نمي­توانند در اين نقش مورد استفاده قرار گيرند.
 
بدون تكنيك­هاي قوي جمع آوري داده، اعتبار اطلاعات جمع آوري شده از سيستم­هاي ميزبان به شدت كاهش مي يابد و از آنجاييكه يكي از اهداف اصلي اين اطلاعات شناخت مهاجمان است، اعتبار اين اطلاعات نيز از اهميت بسيار زيادي برخوردار است.
 
مقالات مرتبط:
كاربردهاي Honeypot ها

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 18 مرداد 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0