انواع هانی پات
انواع هانی پات

هانی پات ها به دو گروه تعامل کم و تعامل زیاد تقسیم بندی می شوند

انواع  هانی پات

در مقاله “هانی پات چیست؟” به تعریف سیستمهای Honeypot، مزایا و معایب این سیستمها پرداختیم. در این مقاله پس از معرفی انواع Honeypot، به ذکر یک مثال از هر نوع خواهیم پرداخت.

برای درک بهترهانی پاتها، می­توانیم آنها را به دو گروه، با تعامل (Interaction) کم و با تعامل زیاد تقسیم کنیم. منظور از Interaction، میزان فعالیت و تعاملی است که یک فرد مهاجم اجازه دارد با آن Honeypot انجام دهد. هر چه این میزان فعالیت و تعامل بیشتر باشد، فرد مهاجم کارهای بیشتری می­تواند انجام دهد و در نتیجه شما می­توانید راجع به وی و فعالیتش اطلاعات بیشتری بدست آورید. البته با افزایش این فعالیت و تعامل، میزان ریسک نیز افزایش می یابد. هانی پاتهای با تعامل کم اجازه انجام حجم کمی از تعاملات را صادر می­کنند، در حالیکهHoneypot  های با تعامل زیاد حجم زیادی از تعاملات را اجازه می دهند.

 

Low Interaction – LinT

 

هانی پات های با تعامل کم

Honeypot های با تعامل کم، با شبیه سازی سیستمها و سرویسها کار می­کنند و فعالیتهای مهاجمان نیز صرفاً شامل همان چیزهایی می­شود که سرویسهای شبیه سازی شده اجازه می­دهند. برای مثال،Honeypot BackOfficer Friendly  یک نمونه  Honeypotبسیار ساده است که هفت سرویس مختلف را شبیه سازی می­کند. مهاجمان در مورد کارهایی که با Honeypot  مبتنی بر سرویسهای شبیه سازی شده می­توانند انجام دهند بسیار محدود هستند. در بیشترین حالت، مهاجمان می­توانند به اینHoneypot  ها وصل شده و دستورات اولیه کمی را انجام دهند.

استفاده از هانی پات های با تعامل کم ساده تر است، چرا که آنها معمولاً از پیش با گزینه های مختلفی برای Administratorتنظیم شده اند. فقط کافی است شما انتخاب کرده و کلیک کنید و بلافاصله یک Honeypot را با سیستم عامل، سرویسها و رفتار مورد نظر خود در اختیار داشته باشید. از جمله این Honeypot ها می­توان بهSpecter اشاره کرد که برای اجرای تحت ویندوز طراحی شده است. این Honeypot  می­تواند تا ۱۳ سیستم عامل مختلف را شبیه سازی کرده و ۱۴ سرویس مختلف را نظارت نماید. واسط های کاربری باعث می­شوند که استفاده از اینHoneypot  ها بسیار ساده باشد، فقط کافی است روی سرویسهایی که می­خواهید تحت نظارت قرار گیرند کلیک کرده و نحوه رفتار Honeypot را تعیین نمایید.

هانی پات های با تعامل کم، همچنین از خطر کمتری برخوردارند، چرا که سرویسهای شبیه سازی شده، کارهایی را که هکر می­تواند انجام دهد محدود می­کنند. هیچ سیستم عامل حقیقی برای لود کردن toolkit ها توسط مهاجم وجود ندارد، و هیچ سرویسی که واقعاً بتوان به آن نفوذ کرد نیز موجود نیست، اما این سرویسها حجم محدودی از اطلاعات را می­توانند جمع آوری نمایند، چرا که هکرها در کار با آنها محدود هستند. همچنین این سرویسها در مواجهه با رفتارهای شناخته شده و حملات مورد انتظار بهتر کار می­کنند. زمانی که هکرها کاری ناشناخته یا غیر منتظره را انجام می­دهند، این Honeypot ها در درک فعالیت هکر، پاسخگویی مناسب، یا ثبت فعالیت با مشکل روبرو می­شوند.

به عنوان مثالهایی از هانی پاتهای با تعامل کم می­توان بهHoneyD ، Specter، و KFSensor  اشاره کرد. برای درک بهتر نحوه کار Honeypot های با تعامل کم، نگاه کوتاهی به HoneyD  می اندازیم.


HoneyD
 – مثالی از Honeypot های با تعامل کم:

HoneyD یکهانی پاتمتن باز است که اولین بار در آوریل ۲۰۰۲ توسط نیلز پرووسعرضه شد. HoneyD به عنوان یک راه حل متن باز، رایگان بوده و اجازه دسترسی کامل کاربران به کد منبع خود را فراهم می آورد. این Honeypot که برای سیستمهای یونیکس طراحی شده است، می­تواند در سیستمهای ویندوز نیز مورد استفاده قرار گیرد. البته در این حالت بسیاری از ویژگیهای مورد استفاده در سیستمهای یونیکس را از دست می­دهد. HoneyD یک Honeypot  با تعامل کم است که نرم افزار آن را روی یک کامپیوتر نصب می­کنید. سپس این نرم افزار صدها سیستم عامل و سرویس مختلف را شبیه سازی می­کند. با ویرایش فایل تنظیمات، شما تعیین می­کنید که کدام آدرسهای IP توسط HoneyD کنترل گردند، انواع سیستم عاملهایی که شبیه سازی می­شوند کدامها باشند و کدام سرویسها شبیه سازی گردند.

برای مثال شما می­توانید به HoneyD بگویید که هسته یک سیستم Linux 2.4.10  را با یک سرور FTP که به پورت ۲۱ گوش می­دهد شبیه سازی نماید. اگر مهاجمان به این هانی پات مراجعه کنند، بر این باور خواهند بود که در حال تعامل با یک سیستم لینوکس هستند. اگر مهاجمان به سرویس FTP متصل شوند، تصور خواهند کرد که با یک سرویس واقعی FTP در تماس هستند. اسکریپت شبیه سازی شده از بسیاری نظرها کاملاً شبیه یک سرویس FTP واقعی رفتار کرده و در عین حال، تمامی فعالیتهای فرد مهاجم را ثبت می­کند. البته این اسکریپت چیزی بیش از یک برنامه نیست که منتظر یک ورودی مشخص از مهاجم می­ماند و خروجی از پیش تعیین شده ای را تولید می­کند. اگر فرد مهاجم کاری انجام دهد که اسکریپت شبیه سازی شده برای آن برنامه ریزی نشده باشد، این اسکریپت صرفا یک پیغام خطا باز می گرداند.

HoneyD دارای ویژگیهایی است که برای Honeypot  های با تعامل کم معمول نیست. این Honeypot نه تنها شبیه سازی سیستم عامل را به وسیله تغییر رفتار سرویسها انجام می دهد، بلکه سیستم عاملها را در سطح پشته IP نیز شبیه سازی می­کند. اگر یک فرد مهاجم از روشهای فعال fingerprinting مانند ابزارهای امنیتی اسکن Nmap و Xprobe استفاده کند، HoneyD  در سطح پشته IP  بعنوان هر سیستم عاملی که بخواهید پاسخ می­دهد.

بر خلاف اغلب هانی پاتهای با تعامل کم،HoneyD  می­تواند میلیونها آدرس IP را کنترل نماید. HoneyD این کار را با کنترل کردن آدرسهای IP کامپیوترهایی که اینHoneypot   روی آنها نصب شده است انجام نمی­دهد، بلکه تمامی آدرسهای IP بلا استفاده روی شبکه شما را کنترل می­کند. زمانیکه HoneyD یک تلاش را برای اتصال به یکی از آدرسهای IP بلا استفاده تشخیص می­دهد، آن تماس را قطع کرده، به طور پویا خود را به جای آن قربانی جا زده، و سپس با فرد مهاجم به تعامل می­پردازد. این قابلیت به طور قابل توجهی شانس تعامل HoneyD با یک مهاجم را بالا می­برد.

High Interaction – HinT


هانی پات های با تعامل زیاد

Honeypotهای با تعامل زیاد با Honeypot های با تعامل کم تفاوت بسیاری دارند، چرا که آنها کل سیستم عامل و برنامه ها را به طور حقیقی برای تعامل با مهاجمان فراهم می آورند.  Honeypotهای با تعامل زیاد چیزی را شبیه سازی نمی­کنند، بلکه کامپیوترها و سیستم عامل هایی واقعی هستند که برنامه هایی واقعی دارند که آماده نفوذ توسط مهاجمان هستند. مزایای استفاده از این دسته ازهانی پات ها بسیار قابل توجه است. آنها برای این طراحی شده اند که حجم زیادی از اطلاعات را به دست آورند. این Honeypot  ها نه تنها می­توانند مهاجمانی را که به یک سیستم متصل می­شوند شناسایی نمایند، بلکه به مهاجمان اجازه می­دهند که به این سرویسها نفوذ کرده و به سیستم عامل دسترسی پیدا کنند. در نتیجه شما قادر خواهید بودrootkit  های این مهاجمان را که به این سیستمها آپلود می­شوند به دست آورید و در حالی­که مهاجمان با این سیستم در حال تعامل هستند، ضربات کلید آنها را تحلیل نموده و زمانیکه با سایر مهاجمان در حال ارتباط هستند آنها را کنترل کنید. در نتیجه می­توانید حرکات، میزان مهارت، سازمان و سایر اطلاعات ارزشمند را راجع به این مهاجمان به دست آورید.

همچنین از آنجایی که Honeypot های با تعامل زیاد شبیه سازی انجام نمی­دهند، طوری طراحی شده اند که رفتارهای جدید، ناشناخته یا غیر منتظره را شناسایی کنند. این دسته ازHoneypot  ها بارها و بارها ثابت کرده اند که قابلیت کشف فعالیتهای جدید، از پروتکلهایIP  غیر استاندارد مورد استفاده برای کانالهای دستورات پنهانی گرفته تا تونل زدن IPv6 در محیطIPv4  برای پنهان کردن ارتباطات را دارا هستند. البته برای به دست آوردن این قابلیتها باید بهای آن را نیز پرداخت. اولاً هانی پاتهای با تعامل زیاد ریسک بالایی دارند. از آنجایی که مهاجمان با سیستم عاملهای واقعی روبرو می­شوند، این Honeypot ها می­توانند برای حمله کردن و ضربه زدن به سایر سیستمهایی که Honeypot نیستند مورد استفاده قرار گیرند. ثانیاً Honeypot های با تعامل زیاد پیچیده هستند. این بار به همین سادگی نیست که یک نرم افزار نصب کنید و پس از آن یک Honeypot  داشته باشید. بلکه شما باید سیستمهای واقعی را برای تعامل با مهاجمان ساخته و تنظیم نمایید. همچنین با تلاش برای کم کردن خطر مهاجمانی که از Honeypot شما استفاده می­کنند، این پیچیدگی بیشتر نیز خواهد شد.

دو مثال از Honeypot های با تعامل زیاد عبارتند از Decoy Server وHoneynet  ها. برای ارائه دید بهتری از Honeypot های با تعامل زیاد، در ادامه به توضیحDecoy Server خواهیم پرداخت.


Decoy Server
 – مثالی از Honeypot های با تعامل زیاد:

Decoy Server یک Honeypot تجاری است که توسط Symantec تولید شده و به فروش می­رسد. این سیستم به عنوان یک Honeypot که با تعامل زیاد است، سیستم عاملها و یا سرویسها را شبیه سازی نمی­کند، بلکه سیستمهای حقیقی و برنامه های حقیقی را برای برقراری تعامل با مهاجمان ایجاد می­کند. در حال حاضر Decoy Server  صرفاً روی سیستم عامل Solaris  کار می­کند. این برنامه، نرم افزاری است که روی یک سیستم Solaris نصب می­شود. سپس این نرم افزار سیستم میزبان موجود را در اختیار گرفته و تا چهار «قفس» یکتا ایجاد می­کند، که هر قفس یک Honeypot است. هر قفس یک سیستم عامل جدا و سیستم فایل مخصوص به خود را داراست. مهاجمان درست مانند سیستم عاملهای واقعی با این قفسها ارتباط برقرار می­کنند. چیزی که مهاجمان درک نمی­کنند این است که هر فعالیت و هر ضربه صفحه کلید آنها توسط Honeypot ثبت و ضبط می­شود.


Honeypot
 های با تعامل کم در مقایسه با Honeypot های با تعامل زیاد

در هنگام انتخاب Honeypot توجه داشته باشید که هیچ یک از این دو نوع از دیگری بهتر نیستند. بلکه هر یک دارای مزایا و معایبی بوده و برای کاری بهتر می­باشند.

 

مزایا و معایب Honeypot های با تعامل کم و Honeypot های با تعامل زیاد را می­توان به شرح زیر بیان کرد:

Honeypot های با تعامل کم (شبیه سازی کننده سیستم عاملها و سرویسها)

  • پیاده سازی و به کار گیری آسان: معمولاً به سادگی نصب یک نرم افزار روی یک کامپیوتر است.
  • ریسک کم: سرویس های شبیه سازی شده کارهایی که مهاجمان می­توانند یا نمی­توانند انجام دهند را کنترل می­کنند.
  • جمع آوری اطلاعات محدود: از آنجاییکه در این دسته از Honeypot ها مهاجمان مجاز به تعامل در حد محدودی هستند، اطلاعات محدودی نیز می­ توان راجع به آنها بدست آورد.

Honeypot های با تعامل زیاد

(بدون شبیه سازی، با استفاده از سیستم عاملها و سرویس های حقیقی)

  •   نصب و به کار گیری آنها می­تواند سخت باشد (نسخه های تجاری ساده ترند)
  •   ریسک بالا: این موضوع که مهاجمان با سیستم عاملهای واقعی روبرو می­شوند که می­توانند با آن به تعامل بپردازند مزایا و معایب خاص خود را داراست.

سازمانهای مختلف، اهداف متفاوتی دارند و به همین دلیل از هانی پات های مختلفی نیز استفاده می­کنند. یک روال معمول این است که سازمانهای تجاری مانند بانکها، خرده فروشان، و تولید کننده ها، Honeypot های با تعامل کم را به علت ریسک پایین، به کار گیری آسان، و نگهداری ساده، ترجیح می­دهند. استفاده ازHoneypot  های با تعامل زیاد نیز در میان سازمانهایی که به قابلیتهای منحصر به فرد راه حلهای با تعامل زیاد و مدیریت ریسک احتیاج دارند معمول تر است.

Medium Interaction – MinT

هانی پات هایی با سطح تعامل میانه

به منظور پوشش خلأ موجود بین هانی پات های LinT و HinT، هانی پات هایی با عنوان MinT ارائه شدند. در این نوع از هانی پات ها که توسط گروه امنیتی کمین پـاد با نام کمین پاد و تحت لیسانس شرکت vaya co. طراحی و تولید شده است، فاصله بین ۲ نوع اول پوشش داده شده و هانی پات علاوه بر آنکه در حالت LinT فعالیت می کند، در وضعیتی کامل به ایجاد تعامل با هکر و بدافزارها می پردازد. بعبارتی دیگر هانی پات هایی با سطح عملکرد میانه، معماری و ساختاری مشابه هانی پات های LinTدارند اما رفتاری مشابه هانی پات های HinT را ارائه می دهند و امروزه این نوع از هانی پات ها جزء پرکاربردترین هانی پات ها قلمداد می شوند.

 

مطالب مرتبط با هانی پات

هانی پات چیست؟

کاربردهای هانی پات

منبع: www.kaminpod.com

 

آیا نیاز به راهنمایی بیشتری دارید؟

شما می توانید در هر ساعت از شبانه روز از طریق ایمیل و یا در ساعات اداری شرکت از طریق تلفن با همکاران ما تماس گرفته و مسائل و مشکلات خود را با ما در میان بگذارید. برای کسب آگاهی از اطلاعات تماس از منوی تماس با ما بالای صفحه اقدام نمائید.

آیا نیاز به تست و دمو دارید؟

از آنجائیکه سعی شرکت براین است تا حداکثر اطمینان مشتریان را قبل از خرید برآورده نماید در صورتیکه نیاز به تست و بازدید از نرم افزارها و یا راهکارهای مطرح شده دارید با ما تماس گرفته و نسبت به دریافت دمو حضوری و یا آنلاین اقدام نمائید. برای کسب آگاهی از اطلاعات تماس از منوی تماس با ما بالای صفحه اقدام نمائید..