معرفی هانی‌پات‌ها

سطح: نیمه‌تخصصی //

برای شروع و درک اولیه، یک هانی پات را میتوان یک حقه و کلک یا بهتر است بگویم یک طعمه در نظر گرفت که می¬تواند بسیاری از نفوذگران ( اتکرها) را بخود جذب کند. عموما این طعمه‌ها می‌توانند بصورت سیستمهای فیزیکی و یا مجازی پیاده‌سازی شوند که نقش یک دیوایس واقعی ( و حتی Critical) را در شبکه از خود به نمایش می‌گذارند (در حالی که اینطور نیست). بر روی هانیپاتها مانیتورینگ و Logging سنگینی را به اجرا میگذاریم تا بتوان عملکردهای اتکر را بر روی آن بدقت مورد بررسی و تحلیل قرار داد. اگرچه جذب عمدی یک اتکر در دسترسی به سیستمی از شبکه ممکن است از نظر یک فرد حرفهای در زمینه امنیت متناقض به نظر برسد اما نباید از فواید راه‌اندازی و استفاده از هانی‌پات در شبکه نیز چشم پوشی نمود.

هانیپاتها به تحلیلگران امنیت این شانس را میدهند تا بتوانند بطور واقعی بر روی دشمن خود مطالعه کنند.  با آنالیز این که حملات واقعی چگونه و چه موقع انجام می‌شوند و چه هکرهایی در پشت روت‌کیت‌ها، تروجان‌ها و اکسپلویت‌ها هستند، تحلیلگر امنیت می‌تواند راه‌های بهتر و کاراتری را در برابر چنین حملاتی پیشنهاد و ارائه دهد.

اجرای مانیتورینگ قوی بر روی هانی‌پات نه تنها برای آنالیزورها سودمند است، بلکه می‌تواند بخوبی دیگر اتک‌های احتمالی و بالقوه شبکه را نیز نشان دهد. در نهایت می‌توان گفت که یک هانی‌پات هرچند طعمه ای بیش نیست اما اطلاعاتی در آن بصورت عمد گذاشته می‌شود که برای هر اتکر داخلی و یا خارجی وسوسه انگیز است ولی در واقع کاری که انجام می‌شود، انحراف نفوذگران از اهداف حساس و با ارزش شبکه است.

به یاد داشته باشید که در برخی حوزه های قضایی، این کار بیشتر از آن که برای انحراف اتکر صورت پذیرد، به منظور به دام انداختن آن انجام می‌شود.
عموما سیستم هانی‌پات از یک سیستم کامپیوتر، اپلیکیشن ها و اطلاعاتی تشکیل می‌شود که شبیه‌سازی کننده رفتار یک سیستم واقعی که در یک شبکه قرار دارد، است. اما با این تفاوت که در حقیقت در یک محیط ایزوله قرار دارد و بشدت برای تحلیل رفتار حملات سایبری و اتکرها، مانیتور می‌شود.

دو نوع از هانی‌پات‌ها:

محققان هانی‌پات‌ها را در دو دسته ” با ریسک بالا”  و ” با ریسک پایین” یا “تحقیقاتی” کلاس‌بندی کرده‌اند. هانی‌پات با ریسک بالا عموما بر روی یک دیوایس، سیستم عامل و اپلیکیشن‌های واقعی و سرویس‌دهنده که اتکر قصد حمله و نفوذ بر روی آن‌ها را دارد، پیاده‌سازی می‌شود.

به عنوان مثال، یک انالیزور که حملات محتمل بر روی ویندوز سرور ۲۰۰۳ (وب سرور) با IIS 6 را تحلیل می‌کند، باید برای نِیل به هدف خود بر روی یک سیستم واقعی یا مجازی، سیستم عامل و نرم‌افزار گفته شده را اجرا کند. مزیتی که هانی‌پات با ریسک بالا دارد، اینست که به اتکر این امکان داده می‌شود تا هر آنچه را که می‌خواهد بر روی دیوایس واقعی مورد نظر انجام دهد و علت هم اینست که اتکر دقیقا بر روی یک دیوایس واقعی و سرویس دهنده کار می‌کند. یعنی آنکه در این حالت، اکسپلویت ها بدرستی کار می‌کنند و قابل تحلیل هستند. در مقابل این نوع پیاده‌سازی هانی‌پات، می‌تواند ضررهای زیادی هم داشته باشد؛ چرا که وقتی که یک سیستم واقعی که هانی‌پات روی آن پیاده‌سازی شده، در معرض تهدید شدن قرار می‌گیرد، برای استفاده مجدد و قرارگیری در شبکه باید مجددا پیکربندی شود. اگرچه این مورد بسیار نادر است اما حملات مخرب بر علیه BIOS سیستم هانی‌پات، آن را ناایمن و غیر مطمئن می‌سازد. همین امر موجب می‌شود که از هانی‌پات به عنوان نقطه قوت اجرای حملات استفاده شود که این امر ممکن است سبب ایجاد مشکلاتی در ارائه سرویس واقعی شبکه شود.

اما هانی‌پات با ریسک پایین بر روی یک سیستم عادی مثل یک سیستم لینوکس اجرا می‌شود و طوری وانمود خواهد شد که این سیستم یک سیستم سرویس‌دهنده در شبکه است و سرویس خاصی را اجرا می‌کند. در مثال بالا؛ در ویندوز سرور ۲۰۰۳ با IIS 6، ممکن است سرویس‌هایی مثل پورت‌های رایج SMB و IIS 6 بر روی پورت های ۸۰ و ۴۴۳ در حال اجرا باشند. هانی‌پات لاگِ کانکشن‌های ایجاد شده بر روی این پورت‌ها و هرگونه فرمانی که بسمت آن‌ها ارسال شده است را مانیتور می‌کند.

هانی‌پات مرز آنچه که می‌تواند عبور کند و یا عبور نکند را مشخص می‌کند. بطور مثال یک هانی‌پات با ریسک پایین، وضعیتی شبیه یک روتر سیسکو را شبیه سازی می‌کند. ممکن است خود را شبیه به یک دیوایس سیسکو با قابلیت تل‌نت نشان دهد اما هرگز به اتکر این اجازه را نخواهد داد تا واقعا بر روی آن لاگین کند. در مقابل یوزرنیم‌ها و پسوردهایی که اتکر با آن ها سعی در لاگین داشته است را درخود ثبت می‌کند. یا آن که سیستم هانی‌پات ما ممکن است خود را شبیه به یک FTP سرور جا بزند. در این صورت ممکن است که به لاگین‌های ناشناس هم اجازه عبور دهد اما هرگز اجازه استفاده کامل از تمامی دستورات FTP را به آن ها نخواهد داد.  در تمامی این حالات سیستم هانی‌پات ما، خود را شبیه به یک سرور و ارائه‌دهنده سرویس جا زده است ولی از آنجایی که فقط نقش بازی می‌کند و در دل آن هیچ سرویس واقعی در حال اجرا نیست، اتکر حتی اگر در آن هم نفوذ کند، راه بجایی نخواهد برد و در واقع سرکار رفته است! در عوض تحلیلگر از لاگ‌هایی که ثبت شده است می‌تواند استفاده کافی را ببرد و اتکر را رفتار شناسی کند.

بزرگترین مزیت استفاده از هانی‌پات با ریسک پایین، اینست که به سادگی قابل نگهداری است چرا که در کنار سایر دلایل، این سیستم هیچگاه کاملا مورد تهدید واقعی قرار نخواهد گرفت. هرچند که با این وضعیت نیز تحلیلگر هم نخواهد توانست درک درستی از آن چه را اتکر قصد انجام آن را داشته است، بدست آورد. هانی‌پات رایجی که در حالت “ریسک پایین” مورد استفاده قرار می‌گیرد، “Honeyd” نام دارد که در طی اجرای پروژه Honeynet، توسط شخصی به نام Niels Provos ایجاد شده است.

مانا باشید
احسان امجدی / کارشناس و مدرس دوره‌های تحلیل امنیت

“اگر بر این باورید که با نقض قانون کپی رایت، وضعیتی بهتر در انتظارمان خواهد بود، بدون ذکر نام نویسنده و منبع، مجاز به انتشار مطالب هستید. “