خدمات میزبانی وب ایده پردازان نظری

مرکز آموزش

دیتاسنتر های پرقدرت واقع در آمریکا و کانادا سالهاست میزبان وب سایت های بیشمار عزیزان هم وطن می باشند ما سعی نموده ایم با ارایه گارانتی نظر اعتماد کاربران را جلب نماییم.

LiveZilla Live Help

اعضا > مرکز آموزش > شبکه > Honeypot 1


Honeypot 1




Honeypot


در بخش اول اين مقاله ، تعريفي از Honeypot ها ارائه داديم و فوايد و مضرات آنها را بيان كرديم. در اين بخش درباره انواع آنها بحث خواهيم كرد

انوع Honeypot ها

Honeypot ها در اندازه و شکلهاي مختلفي هستند و همين امر باعث شده است که فهم آنها کمي مشکل شود. براي اينکه بتوان بهتر آنها را فهميد همه انواع مختلف آنها را در دو زير مجموعه آورده ايم:

1- Honeypot هاي کم واکنش

2- Honeypot هاي پرواکنش

اين تقسيم بندي به ما کمک مي کند که چگونگي رفتار آنها را بهتر درک کنيم. و بتوانيم به راحتي نقاط ضعف و قدرت آنها و توانايي ها يشان را روشن تر کنيم. واکنش در اصل نوع ارتباطي که يک نفوذگر با Honeypot دارد را مشخص مي کند.

Honeypot هاي کم واکنش داراي ارتباط و فعاليتي محدود مي باشند.آنها معمولا با سرويسها و سيستم هاي عامل را شبيه سازي شده کار مي کنند. سطح فعاليت يک نفوذگر با سطحي از برنامه هاي شبيه سازي شده محدود شده است. به عنوان مثال يک سرويس FTP شبيه سازي شده که به پورت 21 گوش مي کند ممکن است فقط يک صفحه login و يا حداکثر تعدادي از دستورات FTP را شبيه سازي کرده باشد . يکي از فوايد اين دسته از Honeypot هاي کم واکنش سادگي آنها مي باشد.

نگهداري Honeypot هاي کم واکنش بسيار راحت و آسان است و خيلي راحت مي توان آنها را گسترش داد و ريسک بسيار کمي دارند. آنها بيشتر درگير اين هستند که چه نرم افزارهايي بايد روي چه سيستم عاملي نصب شود و همچنين مي خواهيد چه سرويسهايي را براي آن شبيه سازي و ديده باني (Monitor ) کنيد.

همين رهيافت خودکار و ساده آنها است که توسعه آن را براي بسياري از شرکت ها راحت مي کند. البته لازم به ذکر است که همين سرويسهاي شبيه سازي شده باعث مي شود که فعاليت هاي فرد نفوذگر محدود شود و همين امر باعث کاهش ريسک مي گردد. به اين معني که نفوذگر نمي تواند هيچگاه به سيستم عامل دسترسي پيدا کند و به وسيله آن به سيستم هاي ديگر آسيب برساند.

يکي از اصلي ترين مضرات Honeypot هاي کم واکنش اين است که آنها فقط اطلاعات محدودي را مي توانند ثبت کنند و آنها طراحي مي شوند که فقط اطلاعاتي راجع به حملات شناخته شده را به ثبت برسانند.همچنين شناختن يک Honeypot کم واکنش براي يک نفوذگر بسيار راحت مي باشد. نگران اين نباشيد که شبيه سازي شما چه اندازه خوب بوده است زيرا که نفوذگران حرفه اي به سرعت يک Honeypot کم واکنش را از يک سيستم واقعي تشخيص مي دهند. از Honeypot هاي کم واکنش مي توان Spector , Honeyd و KFSensor را نام برد.

Honeypot هاي پر واکنش متفاتند. آنها معمولا از راه حل هاي پيچيده تري استفاده مي کنند زيرا که آنها از سيستم عاملها و سرويسهاي واقعي استفاده مي کنند. هيچ چيزي شبيه سازي شده نيست و ما يک سيستم واقعي را در اختيار نفوذگر مي گذاريم.

اگر شما مي خواهيد که يک Honeypot لينوکس سرور FTP داشته باشيد شما بايد يک لينوکس واقعي به همراه يک سرويس FTP نصب کنيد. فايده اين نوع Honeypot دو چيز است. شما مي توانيد يک حجم زيادي از اطلاعات را به دست آوريد. با دادن يک سيستم واقعي به فرد نفوذگر شما مي توانيد تمامي رفتار او از rootkit هاي جديد گرفته تا يک نشست IRC را زير نظر بگيريد. دومين فايده Honeypot هاي پرواکنش اين است که ديگر جاي هيچ فرضيه اي روي رفتار نفوذگر باقي نمي گذارد و يک محيط باز به او مي دهد و تمامي فعاليتهاي او را زير نظر مي گيرد. همين امر باعث مي شود که Honeypot هاي پرواکنش رفتارهايي از فرد نفوذگر را به ما نشان دهند که ما انتظار نداشته ايم و يا نمي توانسته ايم حدس بزنيم!!

بهترين جا براي استفاده از اين نوع Honeypot ها زماني است که قصد داريم دستورات رمز شده يک در پشتي را روي يک شبکه غير استاندارد IP به دست بياريم. به هر حال همين امور است که ريسک اينگونه Honeypot ها را افزايش مي دهد زيرا که نفوذگر يک سيستم عامل واقعي را در اختيار دارد و ممکن است به سيستم هاي اصلي شبکه صدمه بزند. به طور کلي يک Honeypot پرواکنش مي تواند علاوه بر کارهاي يک Honeypot کم واکنش کارهاي خيلي بيشتري را انجام دهد.

براي فهم بهتر اينکه Honeypot کم واکنش و پرواکنش چگونه کار مي کنند بهتر است دو مثال واقعي در اين زمينه بياوريم. با Honeypot هاي کم واکنش شروع مي کنيم.

Honeyd : يک Honeypot کم واکنش

Honeyd يک Honeypot کم واکنش است که توسط Niels Provos ساخته شده است. Honeyd به صورت کد باز مي باشد و براي مجموعه سيستم عاملهاي يونيکس ساخته شده است.(فکر کنم روي ويندوز هم برده شده است ) . Honeyd بر اساس زير نظر گرفتن IP هاي غير قابل استفاده بنا شده است. هر چيزي که قصد داشته باشد با يک IP غير قابل استفاده با شبکه ارتباط برقرار کند ارتباطش را با شبکه اصلي قطع کرده و با نفوذگر ارتباط برقرار مي کند و خودش را جاي قرباني جا مي زند.

به صورت پيش فرض Honeyd تمامي پورتها TCP و يا UDP را زير نظر گرفته و تمامي درخواستهاي آنها را ثبت مي کند. همچنين براي زير نظر گرفتن يک پورت خاص شما مي توانيد سرويس شبيه سازي شده مورد نظر را پيکربندي کنيد مانند شبيه سازي يک سرور FTP که روي پروتکل TCP پورت 21 کار مي کند.وقتي که نفوذگر با يک سرويس شبيه سازي شده ارتباط برقرار مي کند تمامي فعاليتهاي او را با سرويسهاي شبيه سازي شده ديگر ثبت کرده و زير نظر مي گيرد. مثلا در سرويس FTP شبيه سازي شده ما مي توانيم نام کاربري و کلمه هاي رمزي که نفوذگر براي شکستن FTP سرور استفاده مي کند و يا دستوراتي که صادر مي کند را به دست آوريم و شايد حتي پي ببريم که او به دنبال چه چيزي مي گردد و هويت او چيست !

همه اينها به سطحي از شبيه سازي بر مي گردد که Honeypot در اختيار ما گذاشته است. بيشتر سرويسهاي شبيه سازي شده به يک صورت کار مي کنند. آنها منتظر نوع خاصي از رفتارهاي هستند و طبق راههايي که قبلا تعيين کرده اند به اين رفتارهاي واکنش نشان مي دهند.

اگر حمله A اين را انجام داد از اين طريق واکنش نشان بده و اگر حمله B اين کار را کرد از اين راه واکنش نشان بده!

محدوديت اين برنامه ها در اين است که اگر نفوذگر دستوراتي را وارد کند که هيچ پاسخي براي آنها شبيه سازي نشده باشد. بنابراين آنها نمي دانند که چه پاسخي را بايد براي نفوذگر ارسال کنند. بيشتر Honeypot هاي کم واکنش - مانند Honeyd - يک پيغام خطا نشان مي دهند. شما مي توانيد از کد برنامه Honeyd کل دستوراتي که براي FTP شبيه سازي کرده است را مشاهده کنيد.

Honeynet ها : يک Honeypot پر واکنش

Honeynet يک مثال بديهي براي Honeypot هاي پرواکنش مي باشد. Honeynet ها يک محصول نمي باشند. آنها يک راه حل نرم افزاري که بتوان روي يک کامپيوتر نصب شوند نمي باشد. Honeynet ها يک معماري مي باشند . يک شبکه بي عيب از کامپيوترهايي که طراحي شده اند براي حملاتي که روي آنها انجام مي گيرد. طبق اين نظريه ما بايد يک معماري داشته باشيم که يک کنترل بالايي را روي شبکه ايجاد کند تا تمامي ارتباطات با شبکه را بتوان کنترل کرد و زير نظر گرفت.

درون اين شبکه ما چندين قرباني خيالي در نظر مي گيريم البته با کامپيوترهايي که برنامه هاي واقعي را اجرا مي کنند. فرد هکر اين سيستم ها را پيدا کرده و به آنها حمله مي کند و در آنها نفوذ مي کند اما طبق ابتکار و راهکارهاي ما ! يعني همه چيز در کنترل ما مي باشد. البته وقتي آنها اين کارها را انجام مي دهند نمي دانند که در يک Honeynet گرفتار شده اند. تمامي فعاليت هاي فرد نفوذگر از نشست هاي رمز شده SSH گرفته تا ايميل ها و فايلهايي که در سيستم ها قرار مي دهند همه و همه بدون آنکه آنها متوجه شوند زير نظر گرفته و ثبت مي شود. در همان زمان نيز Honeynet تمامي کارهاي نفوذگر را کنترل مي کند. Honeynet ها اين کارها را توسط دروازه اي به نام Honeywall انجام مي دهند. اين دروازه به تمامي ترافيک ورودي اجازه مي دهد که به سمت سيستم هاي قرباني ما هدايت شوند ولي ترافيک خروجي بايد از سيستم هاي مجهز به IDS عبور کند. اين کار به نفوذگر اين امکان را مي دهد که بتواند ارتباط قابل انعطاف تري با سيستم هاي قرباني داشته باشد اما در کنار آن اجازه داده نمي شود که نفوذگر با استفاده از اين سيستم ها به سيستم هاي اصلي صدمه وارد کند.


آیا این پاسخ به شما کمک کرد?

افزودن به مورد علاقه ها افزودن به مورد علاقه ها    پرینت این مقاله پرینت این مقاله

در همین زمینه
کاربرد پورت هاي شبكه (مشاهدات: 3267)
شبكه خصوصي مجازي (مشاهدات: 3075)
کلیات امنیت شبکه (مشاهدات: 3136)


Language:

تماس با ما

آدرس دفاتر تهران:

 دفتر شبکه و اتوماسیون اداری : خیابان کاشانی پلاک 27

دفتر  میزبانی وب : یادگار امام خیابان چراغی، پلاک 2 واحد 3