فا

‫ كاربردهاي Honeypot ها

IRCAR201001047

پيش از اين در دو مقاله به معرفي Honeypot ها، مزايا و معايب اين سيستمهاي امنيتي، و انواع آنها پرداختيم. در اين مقاله قصد داريم كاربردهاي Honeypot ها را به شما معرفي كنيم.

Honeypot هاي با تعامل زياد

اكنون شما مي­دانيد كه Honeypot ها ابزارهايي بسيار انعطاف پذيرند كه مي­توانند براي اهداف مختلفي مورد استفاده قرار گيرند. شما مي­توانيد از آنها به عنوان ابزارهايي در انبار مهمات امنيتي خود به هر نحوي كه مناسب نيازهاي شماست استفاده كنيد. به طور كلي مي­توان Honeypot ها را از لحاظ ارزش كاربردي در دو دسته «تجاري» و «تحقيقاتي» دسته بندي كرد. معمولا Honeypot هاي با تعامل كم براي اهداف تجاري مورد استفاده قرار مي­گيرند، درحاليكه Honeypot هاي با تعامل زياد براي مقاصد تحقيقاتي استفاده مي­شوند. به هر حال هر يك از انواع Honeypot مي­توانند براي هر يك از اهداف فوق مورد استفاده قرار گيرند و هيچ يك از اين اهداف، برتر از ديگري نيستند. زماني كه Honeypot ها براي اهداف تجاري مورد استفاده قرار مي­گيرند، مي­توانند از سازمانها به سه روش محافظت نمايند: جلوگيري از حملات، تشخيص حملات، و پاسخگويي به حملات. اما زمانيك ه براي اهداف تحقيقاتي مورد استفاده قرار مي­گيرند، اطلاعات را جمع آوري مي­كنند. اين اطلاعات ارزش هاي مختلفي براي سازمانهاي گوناگون دارند. برخي سازمانها ممكن است بخواهند راهكارهاي مهاجم را مطالعه كنند، در حاليكه ممكن است برخي ديگر به هشدارها و پيشگيري هاي زودهنگام علاقه مند باشند.


جلوگيري از حملات

Honeypot ها مي­توانند به روشهاي مختلف از بروز حملات جلوگيري كنند. براي مثال Honeypot ها مي­توانند از حملات خودكار مانند حملاتي كه به وسيله كرمها آغاز مي­شوند پيشگيري نمايند. اين حملات مبتني بر ابزارهايي هستند كه به صورت تصادفي كل شبكه را اسكن كرده و به دنبال سيستمهاي آسيب پذير مي­گردند. اگر اين سيستمها پيدا شوند، اين ابزارهاي خودكار به آن سيستم حمله كرده و كنترل آن را به دست مي­گيرند.Honeypot ها با كند كردن پروسه اسكن و حتي توقف آن به دفاع در برابر چنين حملاتي كمك مي­كنند. اين Honeypot ها كه به نام «Honeypot هاي چسبناك» معروفند، فضاي IP بدون استفاده را كنترل مي­كنند. زماني كه اين Honeypot ها با يك فعاليت اسكن روبرو مي­شوند، شروع به تعامل كرده و سرعت كار مهاجم را كند مي­كنند. آنها اين كار را با انواع مختلف ترفندهاي TCP مانند استفاده از پنجره با اندازه صفر انجام مي­دهند. يك مثال از Honeypot هاي چسبناك، La Brea Tar pit است. Honeypot هاي چسبناك معمولا از دسته با تعامل كم هستند. حتي مي­توان آنها را Honeypot بدون تعامل دانست، چرا كه مهاجم را كند و متوقف مي­سازند.

شما مي­توانيد با استفاده از Honeypot ها از شبكه خود در برابر حملات انساني غير خودكار نيز محافظت نماييد. اين ايده مبتني بر فريب يا تهديد است. در اين روش شما مهاجمان را گيج كرده و زمان و منابع آنها را تلف مي­كنيد. به طور همزمان سازمان شما قادر است كه فعاليت مهاجم را تشخيص داده و در نتيجه براي پاسخگويي و متوقف كردن آن فعاليت زمان كافي در اختيار دارد. اين موضوع حتي مي­تواند يك گام نيز فراتر رود. اگر مهاجمان بدانند كه سازمان شما از Honeypot استفاده مي­كند ولي ندانند كه كدام سيستمها Honeypot هستند، ممكن است به طور كلي از حمله كردن به شبكه شما صرفنظر كنند. در اين صورت Honeypot يك عامل تهديد براي مهاجمان به شمار رفته است. يك نمونه از Honeypot هايي كه براي اين كار طراحي شده اند، Deception Toolkit است.


تشخيص حملات

يك راه ديگر كه Honeypot ها با استفاده از آن از سازمان شما محافظت مي­كنند، تشخيص حملات است. از آنجايي كه تشخيص، يك اشكال و يا نقص امنيتي را مشخص مي­كند، حائز اهميت است. صرفنظر از اين كه يك سازمان تا چه اندازه امن باشد، همواره اشكالات و نقايص امنيتي وجود دارند. چرا كه حداقل نيروي انساني در پروسه امنيت درگيرند و خطاهاي انساني هميشه دردسر سازند. با تشخيص حملات، شما مي­توانيد به سرعت به آنها دسترسي پيدا كرده، و خرابي آنها را متوقف ساخته يا كم نماييد.

ثابت شده است كه تشخيص كار بسيار سختي است. تكنولوژيهايي مانند سنسورهاي سيستم تشخيص نفوذ و لاگهاي سيستمها، به دلايل مختلف چندان موثر نيستند. اين تكنولوژيها داده هاي بسيار زيادي توليد كرده و درصد خطاي تشخيص مثبت نادرست آن بسيار بالاست. همچنين اين تكنولوژيها قادر به تشخيص حملات جديد نيستند و نمي­توانند در محيطهاي رمز شده يا IPv6 كار كنند. به طور معمول Honeypot هاي با تعامل كم، بهترين راه حل براي تشخيص هستند. چرا كه به كار گرفتن و نگهداري اين Honeypot ها ساده تر بوده و در مقايسه با Honeypot هاي با تعامل بالا، ريسك كمتري دارند.


پاسخگويي به حملات

Honeypot ها با پاسخگويي به حملات نيز مي­توانند به سازمانها كمك كنند. زماني كه يك سازمان يك مشكل امنيتي را تشخيص مي­دهد، چگونه بايد به آن پاسخ دهد؟ اين مساله معمولا مي­تواند يكي از چالش برانگيزترين مسائل يك سازمان باشد. معمولا اطلاعات كمي درباره اينكه مهاجمان چه كساني هستند، چگونه به آنجا آمده اند، و يا اينكه چقدر تخريب ايجاد كرده اند وجود دارد. در اين شرايط، داشتن اطلاعات دقيق در مورد فعاليت هاي مهاجمان بسيار حياتي است. دو مساله با پاسخگويي به رويداد آميخته شده است. اول اينكه بسياري از سيستم هايي كه معمولا مورد سوء استفاده قرار مي­گيرند نمي­توانند براي تحليل شدن از شبكه خارج گردند. سيستم هاي تجاري، مانند ميل سرور يك سازمان، به حدي مهم هستند كه حتي اگر اين سيستم هك شود، ممكن است متخصصان امنيت نتوانند سيستم را از شبكه خارج كنند و براي تحليل آن بحث نمايند. به جاي اين كار، آنها مجبورند به تحليل سيستم زنده در حالي كه هنوز سرويسهاي تجاري را ارائه مي­كند، بپردازند. اين موضوع باعث مي­شود كه تحليل اتفاقي كه رخ داده، ميزان خسارت به بار آمده، و تشخيص نفوذ مهاجم به سيستم هاي ديگر سخت باشد.

مشكل ديگر اين است كه حتي اگر سيستم از شبكه خارج گردد، به حدي آلودگي داده وجود دارد كه تشخيص اينكه فرد مهاجم چه كاري انجام داده است بسيار سخت است. منظور از آلودگي داده، داده هاي بسيار زياد در مورد فعاليت هاي گوناگون(مانند ورود كاربران، خواندن حسابهاي ايميل، فايلهاي نوشته شده در پايگاه داده، و مسائلي از اين قبيل) است كه باعث مي­شود تشخيص فعاليت هاي معمول روزانه از فعاليتهاي فرد مهاجم سخت باشد.

Honeypot ها براي هر دوي اين مشكلات راه حل دارند. آنها مي­توانند به سرعت و سهولت از شبكه خارج گردند تا يك تحليل كامل بدون تاثير بر كارهاي روزانه انجام گيرد. همچنين از آنجايي كه اين سيستم ها فقط فعاليت هاي خرابكارانه يا تاييد نشده را ثبت مي­كنند، كار تحليل بسيار ساده تر خواهد بود و داده هاي بسيار كمتري بايد بررسي شوند. ارزش Honeypot ها به اين است كه آنها قادرند به سرعت اطلاعات عميق و پرفايده را در اختيار سازمان قرار دهند تا بتواند به يك رويداد پاسخ دهد. Honeypot هاي با تعامل بالا بهترين گزينه براي پاسخگويي است. براي پاسخگويي به نفوذگران، شما بايد دانش عميقي در مورد كاري كه آنها انجام داده اند، شيوه نفوذ، و ابزارهاي مورد استفاده آنها داشته باشيد. براي به دست آوردن اين نوع داده ها، شما احتياج به Honeypot هاي با تعامل بالا داريد.


استفاده از Honeypot ها براي مقاصد تحقيقاتي

همانطور كه پيش از اين اشاره شد، Honeypot ها مي­توانند براي مقاصد تحقيقاتي نيز مورد استفاده قرار گيرند. به اين ترتيب اطلاعات ارزشمندي در مورد تهديدات به دست مي آيد كه تكنولوژيهاي ديگر كمتر قادر به جمع آوري آن هستند. يكي از بزرگترين مشكلات متخصصان امنيت، كمبود اطلاعات يا آگاهي در مورد حملات مجازي است. زماني كه شما دشمن را نمي­شناسيد، چگونه مي­خواهيد در برابر او ديوار دفاعي تشكيل دهيد؟ Honeypot هاي تحقيقاتي اين مشكل را با جمع آوري اطلاعاتي در مورد تهديدات حل مي­كنند. سپس سازمانها مي­توانند از اين اطلاعات براي مقاصد مختلفي مانند تحليل، شناسايي ابزارها و روشهاي جديد، شناسايي مهاجمان و جوامع آنها، هشدارهاي اوليه و جلوگيري، و يا درك انگيزه هاي مهاجمان استفاده كنند.

اكنون شما بايد درك بهتري از چيستي Honeypot ها، نحوه استفاده از آنها، تواناييها و مزايا و معايب آنها به دست آورده باشيد.


مقالات مرتبط:

Honeypot چيست؟

انواع Honeypot



نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 18 مرداد 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0