هانی پات چیست؟ یا کیست؟ + مقاله

هانی پات (به انگلیسی: Honeypot) یک منبع سیستم اطلاعاتی با اطلاعات کاذب است که برای مقابله با هکرها و کشف و جمع‌آوری فعالیت‌های غیرمجاز در شبکه های رایانه ای بر روی شبکه قرار می‌گیرد.

هانی پات‌ها کامپیوترهایی هستند که ابزاری برای مصالحه هستند، کامپیوترهایی که یا واقعی هستند و یا شبیه‌سازی شده‌اند. در نمونه‌های اولیه، هانی‌پات‌ها گرایش به مطالعه و طعمه‌دادن به مهاجمین انسانی داشته‌اند، اما به همان اندازه می‌توانند برای دستگیری کرم‌ها نیز استفاده شوند.

پیشینه

هر سال به تعداد هکرها و نفوذگران به سرورهاوشبکه های رایانه ای اضافه می‌شود و هر روز اطلاعات با ارزشی از قبیل شماره‌های حساب بانکی، شماره‌های کاربری، پسوردها و ... دزدیده، خسارت‌های مالی اعتباری زیادی به شرکت‌های بزرگ وارد می‌شود. در این راستا برنامه نویسان ماهر تصمیم گرفتند جلوی حملات را بگیرند و هکرها را منحرف کنند. اطلاعات نادرست و گمراه‌کننده بهترین طعمه برای فریب هکر هاست. پس برنامه‌نویسان و دانشمندان سخت‌افزار بعد از تلاش بسیار توانستند برنامه ای طراحی کنند که نفوذگران را گمراه کرده و به دام می‌اندازد. این برنامه با دادن اطلاعات نادرست به هکر، باعث می‌شود هکر فکر کند که به اطلاعات مطلوب دست یافته و کار تمام شده‌است.

هانی پات یک منبع سیستم اطلاعاتی می‌باشد که بر روی خود اطلاعات کاذب و غیر واقعی دارد و با استفاده از ارزش و اطلاعات کاذب خود سعی می‌کند اطلاعات و فعالیت‌های غیر مجاز و غیر قانونی بر روی شبکه را کشف و جمع آوری کند. به زبان ساده هانی پات یک سیستم یا سیستمهای کامپیوتری متصل به شبکه و یا اینترنت است که دارای اطلاعات کاذب بر روی خود می‌باشد. از عمد در شبکه قرار می‌گیرد تا به عنوان یک تله عمل کرده و مورد تهاجم یک هکر یا نفوذگر قرار بگیرد. با استفاده از این اطلاعات آنها را فریب داده و اطلاعاتی از نحوهٔ ورود آنها به شبکه و اهدافی که در شبکه دنبال می‌کنند، جمع آوری می‌کند.

اهداف

1.     پیشگیری: با منابع غیر معتبری که در اختیار حمله کنندگان قرار می دهد، در واقع از در خطر قرار گرفتن سیستم واقعی جلوگیری می شود و این یک عمل پیشگیرانه است.

2.     کشف: در اغلب شبکه های موجود در سازمانها، فعالیت محصولات دارای پیچیدگی فراوانی می باشند که کشف حملات را مشکل می سازد. حال انکه در هانی پات این پیچیدگی وجود ندارد و جریانهای ورود و خروج به آن کاملا روشن است.

3.     واکنش: فعالیت محصولات اشاره شده در بالا،باعث می شود تیم پاسخگویی به حوادث نتواند به درستی تشخیص دهد که چه اتفاقی افتاده است.از طرف دیگر در اغلب مواقع تیم پاسخگویی به اختلالات قادر نیست اطلاعاتی از سیسیتم در معرض خطر قرار گرفته، جمع آوری کند ولی برای سیستم هانی پات چنین محدودیتی وجود ندارد.

4.     پژوهش:یکی از مهمترین مباحث در امنیت،گرد آوری(داشتن) اطلاعات دشمن است.هانی پات به عنوان یک ابزار پژوهشی، در نیل به این هدف،کمک شایانی به سازمانهای پژوهشی و دانشگاهی می کند.

شیوه ی کار

با توجه به اینکه منابع هانی پات فاقد ارزش می باشند،بنابراین هر گونه فعالیت در فضای آن(سرک کشیدن)، غیر مجاز، مشکوک و بد خواهانه تلقی می شود.یک هانی پات ممکن است یک کامپیوتر اضافی در یک شبکه باشدو طوری پیاده سازی می شود که اغلب نقاط ضعف شبکه را شبیه سازی می کند. وقتی یک هکر،شبکه ها را برای یافتن نقاط ضعف آن پویش می کند، با یافتن نقاط آسیب پذیر، از آن طریق، به هانی پات حمله می کند. هانی پات با بیدار باشی که به مدیر امنیتی شبکه می دهد(بسته به نوع آن)اقدام به ثبت و جمع آوری اطلاعات برای مطالعه و بررسی می کند.

انواع

هانی پات ها را می توان بر اساس به کارگیری و سطح تعامل (عملیاتی) آنها طبقه بندی کرد. بر این اساس هانی پات ها به دو روش تولیدی(تجاری) و پژوهشی طبقه بندی می شود:

1.     هانی پات های تولیدی(تجاری): این نوع سیستم وقتی که سازمان می خواهد شبکه و سیستم هایش را با کشف و مسدود کردن نفوذگران حفاظت کند و نفوذگر را از طریق قانونی مورد پیگرد قرار دهد، مورد استفاده قرار می گیرد.و با حفاظت از یک شبکه، اثر مثبت و مستقیم روی امنیت آن دارد. این اثرات شامل جلوگیری،حفاظت وپاسخگویی به حملات می باشد.از آنجا که این نوع از هانی پات ها نقش عملیاتی کمی دارند،پیاده سازی آن از نوع پژوهشی ساده تر است واطلاعات زیادی را در مورد حمله کننده ها و حملات، جمع آوری نمی کنند.

2.     هانی پات های پژوهشی: این نوع سیستم وقتی که سازمان می خواهد فقط امنیت شبکه و سیستم های خود را با آموختن روش های نفوذ، منشا نفوذ، ابزارها و exploitهای مورد استفاده ی نفوذگر مستحکم تر کند، استفاده می شوند.این نوع از هانی پات هابرای جمع آوری اطلاعات درباره ی حمله کننده ها،پیاده سازی می شود.و با مطالعه ی رفتار هکر ها از قبیل ابزار و گرایش آن ها مانند نرم افزارهای دانلود شده،کرم ها و ویروس ها اثر غیر مستقیم روی امنیت دارند.

در تعامل با هانی پات ها، یک همبستگی میان مقدار داده های گردآوری شده و مقدار صدمات وارد شده توسط مهاجم وجود دارد. به عبارت دیگر هر چه اندازه خرابی و صدمات بیشتر باشد، اطلاعات بیشتر و مفیدتری می تواند گردآوری شود.هانی پات ها از لحاظ واکنشی(Interaction) به سه دسته ی کم واکنش، میان واکنش و پر واکنش تقسیم بندی می شوند:

یک هانی پات کم واکنش دارای ویژگیهای زیر می باشد:

·         نصب آسان

·         پیکربندی ساده

·         قابلیت توسعه

·         نگهداری ساده

·         خطرپذیری کم

در این دسته از هانی پات ها اطلاعات زیر جمع آوری می شود:

·         ساعت و تاریخ حمله

·         آدرس IP مبدا و پورت مبدا حمله

·         آدرس IP مبدا و پورت مقصد حمله

هانی پات با تعامل کم، تعامل محدودی برقرار می کنند.آن ها معمولا با سرویس ها وسیستم عامل های شبیه سازی شده کار می کنند. فعالیت نفوذگر از طریق سطح نمونه سازی به وسیله هانی پات ها محدود می شود.

یک هانی پات میان واکنش در واقع یک سیستم تولیدی تکامل یافته است و دارای ویژگی های زیر می باشد:

·         نصب اسان

·         پیکربندی مطابق نظر سازمان

·         قابلیت توسعه

·         نگهداری ساده

·         خطر پذیری بیشتر از کم واکنش

·         دارای واکنش بیشتر با حمله کننده

این دسته از هانی پات ها،علاوه بر قابلیت های کم واکنش، قابلیت های زیر را نیز دارا می باشند:ایجاد یک سیستم عامل مجازی در محیط یک سیستم عامل حقیقی، بطوریکه از دید مهاجم رفتار آن مانند یک سیستم حقیقی جلوه می کند.در چنین شرایطی مهاجم با به دست گرفتن کنترل سیستم عامل مجازی تمام اعمال او تحت نظر سیستم عامل مادر قرار می گیرد.

یک هانی پات پر واکنش،اغلب از نوع پژوهشی می باشد و دارای ویژگی های زیر می باشد:

·         ایجاد سیستم واقعی

·         هزینه بالا

·         پیکر بندی و مدیریت پیچیده

·         خطر پذیری بسیار بالا

·         داده های گرد آوری شده ی زیاد و با ارزش

این دسته از هانی پات ها،با هدف درگیر شدن مهاجم با یک محیط واقعی پیاده سازی می شوند و برای استفاده کننده فرصت های زیر فراهم می گردد:

·         شناسایی و ثبت ابزار مهاجم

·         مانیتور کردن فعالیت های هکر

·         دریافتن ارتباط هکر با سایرین

همانطوری که به مهاجم این اجازه داده می شود تا با محیط واقعی سیستم عامل واکنش داشته باشد، این خطر نیز وجود دارد که مهاجم از طریق هانی پات به کامپیوتر های دیگر در شبکه، آسیب برساند. برای جلوگیری از این امر لازم است هانی پات پر واکنش در محیطی کاملا کنترل شده پیاده سازی گردد. با این وجود بهترین منبع برای مطالعه ی گروههای تبهکار،برنامه های کرم و ویروس جهت تجزیه و تحلیل هانی پات های پر واکنش می باشد. هانی پات با تعامل زیاد به خاطر سر و کار داشتن با سیستم عامل و برنامه های کاربردی واقعی راه حل های پیچیده تری به شمار می روند. هیچ چیز نمونه سازی نمی شود و هر چیز واقعی در اختیار نفوذگر است. به عنوان مثال: هانی نت

موارد استفاده

هانی پات‌ها به دو دلیل استفاده می‌شوند:

·         شناخت نقاط ضعف سیستم

·         جمع‌آوری اطلاعات لازم برای تعقیب و ردگیری نفوذگران

مزایا

1.     سادگی:مزیت اولیه ی هانی پات سادگی آن است. کافی است آن را به یک شبکه ارتباط بدهیم، اساسا به دلیل بی ارزش بودن منابع آن هر گونه نفوذ و فعالیت در فضای آن، بد خواهانه تلقی می شود.

2.     ارزش داده ها:در یک شبکه واقعی به دلیل فعالیت جاری سیستم، اطلاعات بدست آمده در زمان حمله و تهدید، مخلوطی از داده های عادی و مهاجم می باشد ودارای حجم زیادی می باشد، حال آنکه در هانی پات ضمن کم حجم بودن این داده ها دارای ارزش زیادی نیز می باشند.

3.     ابزار، تاکتیک ها و ویروس ها:هانی پات ها ممکن است جهت ذخیره سازی آنچه که مهاجمان دانلود می کنند طراحی شده باشند، در این صورت ابزاری که آنها در جهت بدست گرفتن کنترل سیستم به کار می برند کشف می شود و نرم افزارهای ویروس نیز در جهت توسعه ی برنامه های ضد ویروس، از داخل همین داده ها بدست می آید.

معایب

مثل هر فناوری دیگر،هانی پات نیز دارای نقاط ضعفی می باشد. با وجود مزایای برشمرده در بخش قبل، هانی پات جایگزین سایر فناوری ها نمی شود.

1.     محدودیت رویت:هانی پات تنها آن دسته از رویدادها را می تواند گزارش کند که به صورت مستقیم با آن مواجه شده باشد. در نتیجه اگر شبکه ای خارج از دید آن مورد حمله قرار گیرد، هانی پات از اتفاقات آن بی خبر است و قابل ردیابی نیست.

2.     اثر انگشت: نقطه ی ضعف دیگر هانی پات قابلیت رد یابی شدن آن است.این ضعف به خصوص برای نوع پژوهشی آن بیشتر است.هکرهای حرفه ای با ردیابی و شناخت هانی پات در یک شبکه، داده های اشتباه و گمراه کننده را به آن می دهند که باعث اتخاذ تصمیمات غلط مدیران امنیتی در مقابله با رویداد می شود.

3.     خطر پذیری: گاهی ممکن است مهاجم، از طریق یک هانی پات مورد حمله قرار گرفته شده،به شبکه اصلی نفوذ کند. در نوع تولیدی این امکان کمتر و در پژوهشی بیشتر است.

چند نمونه از هانی پات ها

1.     Kaminpod: یک هانی پات نوین است که از لحاظ معماری، رفتاری ایمن در سطح Low Interaction دارد ولی از دیدگاه رفتاری و تعامل با بدافزار و هکر در سطح High Interaction به فعالیت می پردازد. این هانی پات طراحی و تولید شده توسط گروه امنیتی کمین پاد و شرکت ایمن افزار وایـا است و نگرش جدیدی از هانی پات و هانی نت را ارائه می کند.

2.     BOF: یک هانی پات کم واکنش از شرکت NFR security است که بر روی سیستم های ویندوز نصب می شود و تعداد محدودی از سرویس ها را تقلید می کند. به علت محدود بودن تعداد سرویس ها،مهاجمان تحریک می شوند که با آن واکنش داشته باشند. این سیستم برای تشخیص حملات Back orifice طراحی شده است.Back orifice یک برنامه نفوذی است که سیستم را از راه دور کنترل می کند. مانند خیلی از ویروس ها، برنامه ی روی سیستم قربانی دانلود شده و بعد از باز شدن توسط کاربر، بر روی سیستم نصب می شوند و سیستم را تحت کنترل مهاجم در می آید. با وجود BOF در سیستم،هر گونه کنترل از راه دور توسط آن کشف شده و آدرس و عملیات مهاجم ثبت می شود.

3.     Honeyd: یک هانی پات کم واکنش متن باز برای سیستم های Unix می باشد که برای کشف حملات و فعالیت های غیر مجاز طراحی شده است. و به علت متن باز بودن قابلیت تنظیم و تقلید بالایی را برای کاربر فراهم می سازد.یکی از ویژگیهای جالب آن این است که به جای کشف آدرس مهاجم، به آدرس سیستمهای نامعتبر توجه می کند یعنی با مانیتور کردن آدرس های بلا استفاده، به محض آنکه درخواست ارتباطی از سوی این نوع آدرس ها دریافت شد، آن را از سوی مهاجم فرض می کند.

4.     Decoy server: یک هانی پات پر واکنش از شرکت symantec است که قبلا Man Trap خوانده می شد. یک محیط زندان مانند توسط این هانی پات ایجاد می شود و مهاجم در این قفس مجازی با امکانات یک سیستم عامل محدود مواجه شده وامکان گریز هم ندارد.تا 4 عدد از این نوع قفس ها در یک سیستم توسط این هانی پات قابل پیاده سازی است.