هانیپات - ویکیپدیا، دانشنامهٔ آزاد
برای تأییدپذیری کامل این مقاله به منابع بیشتری نیاز است. (ژوئن ۲۰۱۴) |
هانیپات (به انگلیسی: Honeypot) یک منبع سیستم اطلاعاتی با اطلاعات کاذب است که برای مقابله با هکرها و کشف و جمعآوری فعالیتهای غیرمجاز در شبکههای رایانهای بر روی شبکه قرار میگیرد.[۱]
هانیپاتها ابزاری برای مصالحه هستند؛ کامپیوترهایی که یا واقعی هستند یا شبیهسازی شدهاند. در نمونههای اولیه، هانیپاتها گرایش به مطالعه و طعمه دادن به مهاجمان انسانی داشتهاند؛ اما به همان اندازه میتوانند برای دستگیری کرمها نیز استفاده شوند.[۲]
به عبارتی هانیپاتها ابزاری سنتی برای به تله انداختن هکرها، محافظت از اطلاعات حیاتی و مطالعهٔ رفتار هکرها در حملات امنیتی است. اخیراً این روش در کنار ماهیت دفاعی، به عنوان روشی برای حمله نیز استفاده میشود.[۳]
پس هانی پات یا تله عسل روشی است که هکران را زمان ورود به سیستم و هک کردن به دام میاندازد، به گونهای که به آنها اطلاعات اشتباه میدهند و هکران را منحرف میکند. همچنین هانی پات با گمراه کردن هکران با اطلاعات اشتباه آنها را مشغول نگه میدارند بدون اینکه به سیستم آسیبی وارد شود. با این روش میتوان به الگوی هک کردن هکران پی برد و اطلاعات زیادی درمورد نحو عملکردشان بهدستآورد.
پیشینه
[ویرایش]هر سال به تعداد هکرها و نفوذگران به سرورها و شبکههای رایانهای اضافه میشود و هر روز اطلاعات با ارزشی از قبیل شمارههای حساب بانکی، شمارههای کاربری، پسوردها و … دزدیده و خسارتهای مالی اعتباری زیادی به شرکتهای بزرگ وارد میشود. در این راستا برنامهنویسان ماهر تصمیم گرفتند جلوی حملات را بگیرند و هکرها را منحرف کنند. اطلاعات نادرست و گمراهکننده، بهترین طعمه برای فریب هکرها هستند. پس برنامهنویسان و دانشمندان سختافزار بعد از تلاش بسیار توانستند برنامهای طراحی کنند که نفوذگران را گمراه کرده و به دام میاندازد. این برنامه با دادن اطلاعات نادرست به هکر، باعث میشود هکر فکر کند که به اطلاعات مطلوب دست یافته و کار تمام شدهاست.
هانیپات یک منبع سیستم اطلاعاتی میباشد که بر روی خود اطلاعات کاذب و غیرواقعی دارد و با استفاده از ارزش و اطلاعات کاذب خود سعی میکند اطلاعات و فعالیتهای غیرمجاز و غیرقانونی بر روی شبکه را کشف و جمعآوری کند. به زبان ساده هانیپات یک سیستم یا سیستمهای کامپیوتری متصل به شبکه یا اینترنت است، که دارای اطلاعات کاذب بر روی خود میباشد. از عمد در شبکه قرار میگیرد تا به عنوان یک تله عمل کرده و مورد تهاجم یک هکر یا نفوذگر قرار بگیرد. با استفاده از این اطلاعات آنها را فریب داده و اطلاعاتی از نحوهٔ ورود آنها به شبکه و اهدافی که در شبکه دنبال میکنند جمعآوری میکند.
اهداف
[ویرایش]- پیشگیری: با منابع غیرمعتبری که در اختیار حمله کنندگان قرار میدهد، در واقع از در خطر قرار گرفتن سیستم واقعی جلوگیری میشود و این یک عمل پیشگیرانه است.
- کشف: در اغلب شبکههای موجود در سازمانها، فعالیت محصولات دارای پیچیدگی فراوانی میباشد که کشف حملات را مشکل میسازد. حال آن که در هانیپات این پیچیدگی وجود ندارد و جریانهای ورود و خروج به آن کاملاً روشن است.
- واکنش: فعالیت محصولات اشاره شده در بالا، باعث میشود تیم پاسخگویی به حوادث، نتواند به درستی تشخیص دهد که چه اتفاقی افتادهاست. از طرف دیگر در اغلب مواقع تیم پاسخگویی به اختلالات، قادر نیست اطلاعاتی را که از سیستم در معرض خطر قرار گرفته، جمعآوری کند ولی برای سیستم هانیپات چنین محدودیتی وجود ندارد.
- پژوهش:یکی از مهمترین مباحث در امنیت، گردآوری (داشتن) اطلاعات دشمن است. هانیپات به عنوان یک ابزار پژوهشی، در نیل به این هدف، کمک شایانی به سازمانهای پژوهشی و دانشگاهی میکند.[۴]
شیوهٔ کار
[ویرایش]با توجه به این که منابع هانیپات فاقد ارزش میباشد، بنابراین هر گونه فعالیت در فضای آن (سرک کشیدن)، غیرمجاز، مشکوک و بدخواهانه تلقی میشود. یک هانیپات ممکن است یک کامپیوتر اضافی در یک شبکه باشد و طوری پیادهسازی میشود که اغلب نقاط ضعف شبکه را شبیهسازی میکند. وقتی یک هکر، شبکهها را برای یافتن نقاط ضعف آن پویش میکند، با یافتن نقاط آسیبپذیر، از آن طریق به هانیپات حمله میکند. هانیپات با بیدار باشی که به مدیر امنیتی شبکه میدهد، (بسته به نوع آن) اقدام به ثبت و جمعآوری اطلاعات برای مطالعه و بررسی میکند.
برخلاف Firewall یا IDS، هانی پات قرار نیست تا یک مسئلهٔ بهخصوص و معین را حل کند بلکه ابزاری بسیار انعطافپذیر بشمار میرود که قادر است از حملات IPv6 تا انواع روشهای فریب و تقلب در کارتهای اعتباری را شناسایی کند. یک هانی پات را یک Information system resource (منبع سیستم اطلاعاتی) بهشمار آوردهاند که ارزش و مقادیر آن وابسته به منابع بدون مجوز(unauthorized) و غیرقانونی است. این تعریف تمامی جنبههای موجود در هانی پات را در بر میگیرد. در تعریف بالا ارزشها بهوسیلهٔ نفوذگران که با هانی پات به نوعی محاوره برقرار میکنند تأمین میشود. به این معنی که برقراری هر محاوره ای با هانی پات بسیار مستعد این است که یک فعالیت مشکوک یا غیرمجاز باشد. این فعالیت میتواند شامل نفوذ یا حمله یا جمعآوری اطلاعات بهوسیلهٔ نفوذگر باشد.[۵]
انواع
[ویرایش]هانیپاتها را میتوان بر اساس بهکارگیری و سطح تعامل (عملیاتی) آنها طبقهبندی کرد. بر این اساس هانیپاتها به دو روش تولیدی (تجاری) و پژوهشی طبقهبندی میشوند:
- هانیپاتهای تولیدی (تجاری): این نوع سیستم وقتی که سازمان میخواهد شبکه و سیستمهایش را با کشف و مسدود کردن نفوذگران حفاظت کند و نفوذگر را از طریق قانونی مورد پیگرد قرار دهد، مورد استفاده قرار میگیرد و با حفاظت از یک شبکه، اثر مثبت و مستقیم روی امنیت آن دارد. این اثرات شامل جلوگیری، حفاظت و پاسخگویی به حملات میباشند. از آن جا که این نوع از هانیپاتها نقش عملیاتی کمی دارند، پیادهسازی آن از نوع پژوهشی سادهتر است و اطلاعات زیادی را در مورد حملهکنندهها و حملات جمعآوری نمیکنند.
- هانیپاتهای پژوهشی: این نوع سیستم وقتی که سازمان میخواهد فقط امنیت شبکه و سیستمهای خود را با آموختن روشهای نفوذ، منشأ نفوذ، ابزارها و exploitهای مورد استفادهٔ نفوذگر، مستحکم تر کند استفاده میشوند. این نوع از هانیپاتها برای جمعآوری اطلاعات دربارهٔ حملهکنندهها پیادهسازی میشوند و با مطالعهٔ رفتار هکرها از قبیل ابزار و گرایش آنها مانند نرمافزارهای دانلود شده، کرمها و ویروسها اثر غیرمستقیم روی امنیت دارند.
در تعامل با هانیپاتها، یک همبستگی میان مقدار دادههای گردآوری شده و مقدار صدمات وارد شده توسط مهاجم وجود دارد. به عبارت دیگر هر چه اندازه خرابی و صدمات بیشتر باشد، اطلاعات بیشتر و مفیدتری میتواند گردآوری شود. هانیپاتها از لحاظ واکنشی(Interaction) به سه دستهٔ کم واکنش، میان واکنش و پر واکنش تقسیمبندی میشوند:
یک هانیپات کم واکنش دارای ویژگیهای زیر میباشد:
- نصب آسان
- پیکربندی ساده
- قابلیت توسعه
- نگهداری ساده
- خطرپذیری کم
در این دسته از هانیپاتها اطلاعات زیر جمعآوری میشوند:
- ساعت و تاریخ حمله
- آدرس IP مبدأ و پورت مبدأ حمله
- آدرس IP مبدأ و پورت مقصد حمله
هانیپاتها با واکنش کم، تعامل محدودی برقرار میکنند. آنها معمولاً با سرویسها و سیستم عاملهای شبیهسازی شده کار میکنند. فعالیت نفوذگر از طریق سطح نمونهسازی به وسیله هانیپاتها محدود میشود.
یک هانیپات میان واکنش در واقع یک سیستم تولیدی تکامل یافتهاست و دارای ویژگیهای زیر میباشد:
- نصب آسان
- پیکربندی مطابق نظر سازمان
- قابلیت توسعه
- نگهداری ساده
- خطرپذیری بیشتر از کم واکنش
- دارای واکنش بیشتر با حملهکننده
این دسته از هانیپاتها، علاوه بر قابلیتهای کم واکنش، قابلیتهای زیر را نیز دارا میباشند: ایجاد یک سیستم عامل مجازی در محیط یک سیستم عامل حقیقی، بهطوریکه از دید مهاجم رفتار آن مانند یک سیستم حقیقی جلوه میکند. در چنین شرایطی مهاجم با به دست گرفتن کنترل سیستم عامل مجازی تمام اعمال او تحت نظر سیستم عامل مادر قرار میگیرد.
یک هانیپات پر واکنش، اغلب از نوع پژوهشی میباشد و دارای ویژگیهای زیر میباشد:
- ایجاد سیستم واقعی
- هزینه بالا
- پیکربندی و مدیریت پیچیده
- خطرپذیری بسیار بالا
- دادههای گردآوری شدهٔ زیاد و باارزش
این دسته از هانیپاتها، با هدف درگیر شدن مهاجم با یک محیط واقعی پیادهسازی میشوند و برای استفادهکننده فرصتهای زیر فراهم میگردد:
- شناسایی و ثبت ابزار مهاجم
- مانیتور کردن فعالیتهای هکر
- دریافتن ارتباط هکر با سایرین
همانطوری که به مهاجم این اجازه داده میشود تا با محیط واقعی سیستم عامل واکنش داشته باشد، این خطر نیز وجود دارد که مهاجم از طریق هانیپات به کامپیوترهای دیگر در شبکه آسیب برساند. برای جلوگیری از این امر لازم است هانیپات پر واکنش در محیطی کاملاً کنترل شده پیادهسازی گردد. با این وجود بهترین منبع برای مطالعهٔ گروههای تبهکار، برنامههای کرم و ویروس جهت تجزیه و تحلیل، هانیپاتهای پر واکنش میباشند. هانیپاتها با تعامل زیاد به خاطر سر و کار داشتن با سیستم عامل و برنامههای کاربردی واقعی راه حلهای پیچیده تری بهشمار میروند. هیچ چیز نمونهسازی نمیشود و هر چیز واقعی در اختیار نفوذگر است. به عنوان مثال: هانی نت
موارد استفاده
[ویرایش]هانیپاتها به دو دلیل استفاده میشوند:
- شناخت نقاط ضعف سیستم
- جمعآوری اطلاعات لازم برای تعقیب و ردگیری نفوذگران
مزایا
[ویرایش]- سادگی: مزیت اولیهٔ هانیپات سادگی آن است. کافی است آن را به یک شبکه ارتباط بدهیم. اساساً به دلیل بیارزش بودن منابع آن هر گونه نفوذ و فعالیت در فضای آن، بدخواهانه تلقی میشود.
- ارزش دادهها: در یک شبکه واقعی به دلیل فعالیت جاری سیستم، اطلاعات به دست آمده در زمان حمله و تهدید، مخلوطی از دادههای عادی و مهاجم میباشد و دارای حجم زیادی میباشد. حال آن که در هانیپات ضمن کم حجم بودن، این دادهها دارای ارزش زیادی نیز میباشند.
- ابزار، تاکتیکها و ویروسها: هانیپاتها ممکن است جهت ذخیرهسازی آنچه که مهاجمان دانلود میکنند طراحی شده باشند. در این صورت ابزاری که آنها در جهت به دست گرفتن کنترل سیستم به کار میبرند کشف میشود و نرمافزارهای ویروس نیز در جهت توسعهٔ برنامههای ضدویروس، از داخل همین دادهها به دست میآید.
معایب
[ویرایش]مثل هر فناوری دیگر، هانیپات نیز دارای نقاط ضعفی میباشد. با وجود مزایای برشمرده در بخش قبل، هانیپات جایگزین سایر فناوریها نمیشود.
- محدودیت رویت: هانیپات تنها آن دسته از رویدادها را میتواند گزارش کند که به صورت مستقیم با آن مواجه شده باشد. در نتیجه اگر شبکهای خارج از دید آن مورد حمله قرار گیرد، هانیپات از اتفاقات آن بیخبر است و قابل ردیابی نیست.
- اثر انگشت: نقطهٔ ضعف دیگر هانیپات قابلیت رد یابی شدن آن است. این ضعف به خصوص برای نوع پژوهشی آن بیشتر است. هکرهای حرفهای با ردیابی و شناخت هانیپات در یک شبکه، دادههای اشتباه و گمراهکننده را به آن میدهند که باعث اتخاذ تصمیمات غلط مدیران امنیتی در مقابله با رویداد میشود.
- خطر پذیری: گاهی ممکن است مهاجم از طریق یک هانیپات مورد حمله قرار گرفته، به شبکه اصلی نفوذ کند. در نوع تولیدی این امکان کمتر و در پژوهشی بیشتر است
- به قول معروف! حتی در قوی ترین نقطه ممکن هم یک نقطه ضعف وجود دارد!
چند نمونه از هانیپاتها
[ویرایش]- BOF: یک هانیپات کم واکنش از شرکت NFR security است که بر روی سیستمهای ویندوز نصب میشود و تعداد محدودی از سرویسها را تقلید میکند. به علت محدود بودن تعداد سرویسها، مهاجمان تحریک میشوند که با آن واکنش داشته باشند. این سیستم برای تشخیص حملات Back orifice طراحی شدهاست. Back orifice یک برنامه نفوذی است که سیستم را از راه دور کنترل میکند. مانند خیلی از ویروسها، برنامهٔ روی سیستم قربانی دانلود شده و بعد از باز شدن توسط کاربر، بر روی سیستم نصب میشود و سیستم تحت کنترل مهاجم در میآید. با وجود BOF در سیستم، هر گونه کنترل از راه دور توسط آن کشف شده و آدرس و عملیات مهاجم ثبت میشود.
- Honeyd: یک هانیپات کم واکنش متن باز برای سیستمهای Unix میباشد که برای کشف حملات و فعالیتهای غیرمجاز طراحی شدهاست و به علت متن باز بودن، قابلیت تنظیم و تقلید بالایی را برای کاربر فراهم میسازد. یکی از ویژگیهای جالب آن این است که به جای کشف آدرس مهاجم، به آدرس سیستمهای نامعتبر توجه میکند؛ یعنی با مانیتور کردن آدرسهای بلا استفاده، به محض آن که درخواست ارتباطی از سوی این نوع آدرسها دریافت شد، آن را از سوی مهاجم فرض میکند.
- Decoy server: یک هانیپات پر واکنش از شرکت symantec است که قبلاً Man Trap خوانده میشد. یک محیط زندان مانند توسط این هانیپات ایجاد میشود و مهاجم در این قفس مجازی با امکانات یک سیستم عامل محدود مواجه شده و امکان گریز هم ندارد. تا ۴ عدد از این نوع قفسها در یک سیستم توسط این هانیپات قابل پیادهسازی است.
منابع
[ویرایش]صفحه انگلیسی هانیپات در ویکیپدیای انگلیسی
- ↑ Naveen, Sharanya. "Honeypot". Archived from the original on 16 May 2016. Retrieved 1 June 2016.
- ↑ ویروسها و بدافزارهای کامپیوتری. بابک بشری راد، آرش حبیبی لشکری. انتشارات ناقوس. ۱۳۹۱
- ↑ پایگاه اطلاعرسانی فناوری گرداب، Gerdab IR | (۲۸ اردیبهشت ۱۴۰۱). «پرونده/ هانیپات؛ انواع و روشهای نفوذ و استقرار در شبکه». fa. دریافتشده در ۲۰۲۳-۰۶-۰۶.[پیوند مرده]
- ↑ کاملترین مرجع کاربردی شبکههای کاربردی و ارتباطی. علیرضا دهستانی. انتشارات نیاز دانش.1390
- ↑ «هانی پات (HoneyPot) چیست؟ برقراری امنیت در شبکه توسط تکنیک هانی پات». آموزش و دانلود و انجمن تخصصی شبکه سیسکو و مایکروسافت و امنیت. ۲۰۱۹-۱۱-۰۹. دریافتشده در ۲۰۲۰-۱۲-۱۲.