هانی‌پات - ویکی‌پدیا، دانشنامهٔ آزاد

هانی‌پات (به انگلیسی: Honeypot) یک منبع سیستم اطلاعاتی با اطلاعات کاذب است که برای مقابله با هکرها و کشف و جمع‌آوری فعالیت‌های غیرمجاز در شبکه‌های رایانه‌ای بر روی شبکه قرار می‌گیرد.[۱]

نمای هانی‌پات برای کمک به درک موضوع

هانی‌پات‌ها ابزاری برای مصالحه هستند؛ کامپیوترهایی که یا واقعی هستند یا شبیه‌سازی شده‌اند. در نمونه‌های اولیه، هانی‌پات‌ها گرایش به مطالعه و طعمه دادن به مهاجمان انسانی داشته‌اند؛ اما به همان اندازه می‌توانند برای دستگیری کرم‌ها نیز استفاده شوند.[۲]

به عبارتی هانی‌پات‌ها ابزاری سنتی برای به تله انداختن هکرها، محافظت از اطلاعات حیاتی و مطالعهٔ رفتار هکرها در حملات امنیتی است. اخیراً این روش در کنار ماهیت دفاعی، به عنوان روشی برای حمله نیز استفاده می‌شود.[۳]

پس هانی پات یا تله عسل روشی است که هکران را زمان ورود به سیستم و هک کردن به دام می‌اندازد، به گونه‌ای که به آنها اطلاعات اشتباه می‌دهند و هکران را منحرف می‌کند. همچنین هانی پات با گمراه کردن هکران با اطلاعات اشتباه آنها را مشغول نگه می‌دارند بدون اینکه به سیستم آسیبی وارد شود. با این روش می‌توان به الگوی هک کردن هکران پی برد و اطلاعات زیادی درمورد نحو عملکردشان به‌دست‌آورد.

پیشینه

[ویرایش]

هر سال به تعداد هکرها و نفوذگران به سرورها و شبکه‌های رایانه‌ای اضافه می‌شود و هر روز اطلاعات با ارزشی از قبیل شماره‌های حساب بانکی، شماره‌های کاربری، پسوردها و … دزدیده و خسارت‌های مالی اعتباری زیادی به شرکت‌های بزرگ وارد می‌شود. در این راستا برنامه‌نویسان ماهر تصمیم گرفتند جلوی حملات را بگیرند و هکرها را منحرف کنند. اطلاعات نادرست و گمراه‌کننده، بهترین طعمه برای فریب هکرها هستند. پس برنامه‌نویسان و دانشمندان سخت‌افزار بعد از تلاش بسیار توانستند برنامه‌ای طراحی کنند که نفوذگران را گمراه کرده و به دام می‌اندازد. این برنامه با دادن اطلاعات نادرست به هکر، باعث می‌شود هکر فکر کند که به اطلاعات مطلوب دست یافته و کار تمام شده‌است.

هانی‌پات یک منبع سیستم اطلاعاتی می‌باشد که بر روی خود اطلاعات کاذب و غیرواقعی دارد و با استفاده از ارزش و اطلاعات کاذب خود سعی می‌کند اطلاعات و فعالیت‌های غیرمجاز و غیرقانونی بر روی شبکه را کشف و جمع‌آوری کند. به زبان ساده هانی‌پات یک سیستم یا سیستم‌های کامپیوتری متصل به شبکه یا اینترنت است، که دارای اطلاعات کاذب بر روی خود می‌باشد. از عمد در شبکه قرار می‌گیرد تا به عنوان یک تله عمل کرده و مورد تهاجم یک هکر یا نفوذگر قرار بگیرد. با استفاده از این اطلاعات آن‌ها را فریب داده و اطلاعاتی از نحوهٔ ورود آن‌ها به شبکه و اهدافی که در شبکه دنبال می‌کنند جمع‌آوری می‌کند.

اهداف

[ویرایش]
  1. پیشگیری: با منابع غیرمعتبری که در اختیار حمله کنندگان قرار می‌دهد، در واقع از در خطر قرار گرفتن سیستم واقعی جلوگیری می‌شود و این یک عمل پیشگیرانه است.
  2. کشف: در اغلب شبکه‌های موجود در سازمان‌ها، فعالیت محصولات دارای پیچیدگی فراوانی می‌باشد که کشف حملات را مشکل می‌سازد. حال آن که در هانی‌پات این پیچیدگی وجود ندارد و جریان‌های ورود و خروج به آن کاملاً روشن است.
  3. واکنش: فعالیت محصولات اشاره شده در بالا، باعث می‌شود تیم پاسخگویی به حوادث، نتواند به درستی تشخیص دهد که چه اتفاقی افتاده‌است. از طرف دیگر در اغلب مواقع تیم پاسخگویی به اختلالات، قادر نیست اطلاعاتی را که از سیستم در معرض خطر قرار گرفته، جمع‌آوری کند ولی برای سیستم هانی‌پات چنین محدودیتی وجود ندارد.
  4. پژوهش:یکی از مهم‌ترین مباحث در امنیت، گردآوری (داشتن) اطلاعات دشمن است. هانی‌پات به عنوان یک ابزار پژوهشی، در نیل به این هدف، کمک شایانی به سازمان‌های پژوهشی و دانشگاهی می‌کند.[۴]

شیوهٔ کار

[ویرایش]

با توجه به این که منابع هانی‌پات فاقد ارزش می‌باشد، بنابراین هر گونه فعالیت در فضای آن (سرک کشیدن)، غیرمجاز، مشکوک و بدخواهانه تلقی می‌شود. یک هانی‌پات ممکن است یک کامپیوتر اضافی در یک شبکه باشد و طوری پیاده‌سازی می‌شود که اغلب نقاط ضعف شبکه را شبیه‌سازی می‌کند. وقتی یک هکر، شبکه‌ها را برای یافتن نقاط ضعف آن پویش می‌کند، با یافتن نقاط آسیب‌پذیر، از آن طریق به هانی‌پات حمله می‌کند. هانی‌پات با بیدار باشی که به مدیر امنیتی شبکه می‌دهد، (بسته به نوع آن) اقدام به ثبت و جمع‌آوری اطلاعات برای مطالعه و بررسی می‌کند.

برخلاف Firewall یا IDS، هانی پات قرار نیست تا یک مسئلهٔ به‌خصوص و معین را حل کند بلکه ابزاری بسیار انعطاف‌پذیر بشمار می‌رود که قادر است از حملات IPv6 تا انواع روش‌های فریب و تقلب در کارت‌های اعتباری را شناسایی کند. یک هانی پات را یک Information system resource (منبع سیستم اطلاعاتی) به‌شمار آورده‌اند که ارزش و مقادیر آن وابسته به منابع بدون مجوز(unauthorized) و غیرقانونی است. این تعریف تمامی جنبه‌های موجود در هانی پات را در بر می‌گیرد. در تعریف بالا ارزشها به‌وسیلهٔ نفوذگران که با هانی پات به نوعی محاوره برقرار می‌کنند تأمین می‌شود. به این معنی که برقراری هر محاوره ای با هانی پات بسیار مستعد این است که یک فعالیت مشکوک یا غیرمجاز باشد. این فعالیت می‌تواند شامل نفوذ یا حمله یا جمع‌آوری اطلاعات به‌وسیلهٔ نفوذگر باشد.[۵]

انواع

[ویرایش]

هانی‌پات‌ها را می‌توان بر اساس به‌کارگیری و سطح تعامل (عملیاتی) آن‌ها طبقه‌بندی کرد. بر این اساس هانی‌پات‌ها به دو روش تولیدی (تجاری) و پژوهشی طبقه‌بندی می‌شوند:

  1. هانی‌پات‌های تولیدی (تجاری): این نوع سیستم وقتی که سازمان می‌خواهد شبکه و سیستم‌هایش را با کشف و مسدود کردن نفوذگران حفاظت کند و نفوذگر را از طریق قانونی مورد پیگرد قرار دهد، مورد استفاده قرار می‌گیرد و با حفاظت از یک شبکه، اثر مثبت و مستقیم روی امنیت آن دارد. این اثرات شامل جلوگیری، حفاظت و پاسخگویی به حملات می‌باشند. از آن جا که این نوع از هانی‌پات‌ها نقش عملیاتی کمی دارند، پیاده‌سازی آن از نوع پژوهشی ساده‌تر است و اطلاعات زیادی را در مورد حمله‌کننده‌ها و حملات جمع‌آوری نمی‌کنند.
  2. هانی‌پات‌های پژوهشی: این نوع سیستم وقتی که سازمان می‌خواهد فقط امنیت شبکه و سیستم‌های خود را با آموختن روش‌های نفوذ، منشأ نفوذ، ابزارها و exploitهای مورد استفادهٔ نفوذگر، مستحکم تر کند استفاده می‌شوند. این نوع از هانی‌پات‌ها برای جمع‌آوری اطلاعات دربارهٔ حمله‌کننده‌ها پیاده‌سازی می‌شوند و با مطالعهٔ رفتار هکرها از قبیل ابزار و گرایش آن‌ها مانند نرم‌افزارهای دانلود شده، کرم‌ها و ویروس‌ها اثر غیرمستقیم روی امنیت دارند.

در تعامل با هانی‌پات‌ها، یک همبستگی میان مقدار داده‌های گردآوری شده و مقدار صدمات وارد شده توسط مهاجم وجود دارد. به عبارت دیگر هر چه اندازه خرابی و صدمات بیشتر باشد، اطلاعات بیشتر و مفیدتری می‌تواند گردآوری شود. هانی‌پات‌ها از لحاظ واکنشی(Interaction) به سه دستهٔ کم واکنش، میان واکنش و پر واکنش تقسیم‌بندی می‌شوند:

یک هانی‌پات کم واکنش دارای ویژگی‌های زیر می‌باشد:

  • نصب آسان
  • پیکربندی ساده
  • قابلیت توسعه
  • نگهداری ساده
  • خطرپذیری کم

در این دسته از هانی‌پات‌ها اطلاعات زیر جمع‌آوری می‌شوند:

  • ساعت و تاریخ حمله
  • آدرس IP مبدأ و پورت مبدأ حمله
  • آدرس IP مبدأ و پورت مقصد حمله

هانی‌پات‌ها با واکنش کم، تعامل محدودی برقرار می‌کنند. آن‌ها معمولاً با سرویس‌ها و سیستم عامل‌های شبیه‌سازی شده کار می‌کنند. فعالیت نفوذگر از طریق سطح نمونه‌سازی به وسیله هانی‌پات‌ها محدود می‌شود.

یک هانی‌پات میان واکنش در واقع یک سیستم تولیدی تکامل یافته‌است و دارای ویژگی‌های زیر می‌باشد:

  • نصب آسان
  • پیکربندی مطابق نظر سازمان
  • قابلیت توسعه
  • نگهداری ساده
  • خطرپذیری بیشتر از کم واکنش
  • دارای واکنش بیشتر با حمله‌کننده

این دسته از هانی‌پات‌ها، علاوه بر قابلیت‌های کم واکنش، قابلیت‌های زیر را نیز دارا می‌باشند: ایجاد یک سیستم عامل مجازی در محیط یک سیستم عامل حقیقی، به‌طوری‌که از دید مهاجم رفتار آن مانند یک سیستم حقیقی جلوه می‌کند. در چنین شرایطی مهاجم با به دست گرفتن کنترل سیستم عامل مجازی تمام اعمال او تحت نظر سیستم عامل مادر قرار می‌گیرد.

یک هانی‌پات پر واکنش، اغلب از نوع پژوهشی می‌باشد و دارای ویژگی‌های زیر می‌باشد:

  • ایجاد سیستم واقعی
  • هزینه بالا
  • پیکربندی و مدیریت پیچیده
  • خطرپذیری بسیار بالا
  • داده‌های گردآوری شدهٔ زیاد و باارزش

این دسته از هانی‌پات‌ها، با هدف درگیر شدن مهاجم با یک محیط واقعی پیاده‌سازی می‌شوند و برای استفاده‌کننده فرصت‌های زیر فراهم می‌گردد:

  • شناسایی و ثبت ابزار مهاجم
  • مانیتور کردن فعالیت‌های هکر
  • دریافتن ارتباط هکر با سایرین

همانطوری که به مهاجم این اجازه داده می‌شود تا با محیط واقعی سیستم عامل واکنش داشته باشد، این خطر نیز وجود دارد که مهاجم از طریق هانی‌پات به کامپیوترهای دیگر در شبکه آسیب برساند. برای جلوگیری از این امر لازم است هانی‌پات پر واکنش در محیطی کاملاً کنترل شده پیاده‌سازی گردد. با این وجود بهترین منبع برای مطالعهٔ گروه‌های تبهکار، برنامه‌های کرم و ویروس جهت تجزیه و تحلیل، هانی‌پات‌های پر واکنش می‌باشند. هانی‌پات‌ها با تعامل زیاد به خاطر سر و کار داشتن با سیستم عامل و برنامه‌های کاربردی واقعی راه حل‌های پیچیده تری به‌شمار می‌روند. هیچ چیز نمونه‌سازی نمی‌شود و هر چیز واقعی در اختیار نفوذگر است. به عنوان مثال: هانی نت

موارد استفاده

[ویرایش]

هانی‌پات‌ها به دو دلیل استفاده می‌شوند:

  • شناخت نقاط ضعف سیستم
  • جمع‌آوری اطلاعات لازم برای تعقیب و ردگیری نفوذگران

مزایا

[ویرایش]
  1. سادگی: مزیت اولیهٔ هانی‌پات سادگی آن است. کافی است آن را به یک شبکه ارتباط بدهیم. اساساً به دلیل بی‌ارزش بودن منابع آن هر گونه نفوذ و فعالیت در فضای آن، بدخواهانه تلقی می‌شود.
  2. ارزش داده‌ها: در یک شبکه واقعی به دلیل فعالیت جاری سیستم، اطلاعات به دست آمده در زمان حمله و تهدید، مخلوطی از داده‌های عادی و مهاجم می‌باشد و دارای حجم زیادی می‌باشد. حال آن که در هانی‌پات ضمن کم حجم بودن، این داده‌ها دارای ارزش زیادی نیز می‌باشند.
  3. ابزار، تاکتیک‌ها و ویروس‌ها: هانی‌پات‌ها ممکن است جهت ذخیره‌سازی آنچه که مهاجمان دانلود می‌کنند طراحی شده باشند. در این صورت ابزاری که آن‌ها در جهت به دست گرفتن کنترل سیستم به کار می‌برند کشف می‌شود و نرم‌افزارهای ویروس نیز در جهت توسعهٔ برنامه‌های ضدویروس، از داخل همین داده‌ها به دست می‌آید.

معایب

[ویرایش]

مثل هر فناوری دیگر، هانی‌پات نیز دارای نقاط ضعفی می‌باشد. با وجود مزایای برشمرده در بخش قبل، هانی‌پات جایگزین سایر فناوری‌ها نمی‌شود.

  1. محدودیت رویت: هانی‌پات تنها آن دسته از رویدادها را می‌تواند گزارش کند که به صورت مستقیم با آن مواجه شده باشد. در نتیجه اگر شبکه‌ای خارج از دید آن مورد حمله قرار گیرد، هانی‌پات از اتفاقات آن بی‌خبر است و قابل ردیابی نیست.
  2. اثر انگشت: نقطهٔ ضعف دیگر هانی‌پات قابلیت رد یابی شدن آن است. این ضعف به خصوص برای نوع پژوهشی آن بیشتر است. هکرهای حرفه‌ای با ردیابی و شناخت هانی‌پات در یک شبکه، داده‌های اشتباه و گمراه‌کننده را به آن می‌دهند که باعث اتخاذ تصمیمات غلط مدیران امنیتی در مقابله با رویداد می‌شود.
  3. خطر پذیری: گاهی ممکن است مهاجم از طریق یک هانی‌پات مورد حمله قرار گرفته، به شبکه اصلی نفوذ کند. در نوع تولیدی این امکان کمتر و در پژوهشی بیشتر است
  4. به قول معروف! حتی در قوی ترین نقطه ممکن هم یک نقطه ضعف وجود دارد!

چند نمونه از هانی‌پات‌ها

[ویرایش]
  1. BOF: یک هانی‌پات کم واکنش از شرکت NFR security است که بر روی سیستم‌های ویندوز نصب می‌شود و تعداد محدودی از سرویس‌ها را تقلید می‌کند. به علت محدود بودن تعداد سرویس‌ها، مهاجمان تحریک می‌شوند که با آن واکنش داشته باشند. این سیستم برای تشخیص حملات Back orifice طراحی شده‌است. Back orifice یک برنامه نفوذی است که سیستم را از راه دور کنترل می‌کند. مانند خیلی از ویروس‌ها، برنامهٔ روی سیستم قربانی دانلود شده و بعد از باز شدن توسط کاربر، بر روی سیستم نصب می‌شود و سیستم تحت کنترل مهاجم در می‌آید. با وجود BOF در سیستم، هر گونه کنترل از راه دور توسط آن کشف شده و آدرس و عملیات مهاجم ثبت می‌شود.
  2. Honeyd: یک هانی‌پات کم واکنش متن باز برای سیستم‌های Unix می‌باشد که برای کشف حملات و فعالیت‌های غیرمجاز طراحی شده‌است و به علت متن باز بودن، قابلیت تنظیم و تقلید بالایی را برای کاربر فراهم می‌سازد. یکی از ویژگی‌های جالب آن این است که به جای کشف آدرس مهاجم، به آدرس سیستم‌های نامعتبر توجه می‌کند؛ یعنی با مانیتور کردن آدرس‌های بلا استفاده، به محض آن که درخواست ارتباطی از سوی این نوع آدرس‌ها دریافت شد، آن را از سوی مهاجم فرض می‌کند.
  3. Decoy server: یک هانی‌پات پر واکنش از شرکت symantec است که قبلاً Man Trap خوانده می‌شد. یک محیط زندان مانند توسط این هانی‌پات ایجاد می‌شود و مهاجم در این قفس مجازی با امکانات یک سیستم عامل محدود مواجه شده و امکان گریز هم ندارد. تا ۴ عدد از این نوع قفس‌ها در یک سیستم توسط این هانی‌پات قابل پیاده‌سازی است.

منابع

[ویرایش]

صفحه انگلیسی هانی‌پات در ویکی‌پدیای انگلیسی

  1. Naveen, Sharanya. "Honeypot". Archived from the original on 16 May 2016. Retrieved 1 June 2016.
  2. ویروس‌ها و بدافزارهای کامپیوتری. بابک بشری راد، آرش حبیبی لشکری. انتشارات ناقوس. ۱۳۹۱
  3. پایگاه اطلاع‌رسانی فناوری گرداب، Gerdab IR | (۲۸ اردیبهشت ۱۴۰۱). «پرونده/ هانی‌پات؛ انواع و روش‌های نفوذ و استقرار در شبکه». fa. دریافت‌شده در ۲۰۲۳-۰۶-۰۶.[پیوند مرده]
  4. کاملترین مرجع کاربردی شبکه‌های کاربردی و ارتباطی. علیرضا دهستانی. انتشارات نیاز دانش.1390
  5. «هانی پات (HoneyPot) چیست؟ برقراری امنیت در شبکه توسط تکنیک هانی پات». آموزش و دانلود و انجمن تخصصی شبکه سیسکو و مایکروسافت و امنیت. ۲۰۱۹-۱۱-۰۹. دریافت‌شده در ۲۰۲۰-۱۲-۱۲.