Honeypot چيست

هدف آنها اين است كه فعاليتهاي غير مجاز يا خرابكارانه را شناسايي كرده و درباره آنها به متخصصان امنيت هشدار دهند. تعريف Honeypot ها كار سخت تري است، چرا كه آنها ممكن است در پيشگيري، تشخيص، جمع آوري اطلاعات، و كارهاي ديگري مورد استفاده قرار گيرند. شايد بتوان يك Honeypot را به اين صورت تعريف كرد:

«Honeypot يك سيستم اطلاعاتي است كه ارزش آن به استفاده غير مجاز و ممنوع ديگران از آن است.»

اين تعريف به وسيله اعضاي ليست ايميل Honeypot انجام شده است. ليست ايميل Honeypot يك فروم متشكل از بيش از 5000 متخصص امنيت است. از آنجاييكه Honeypot ها در اشكال و اندازه هاي مختلفي وجود دارند، ارائه تعريف جامعي از آن كار بسيار سختي است. تعريف يك Honeypot نشان دهنده نحوه كار آن و يا حتي هدف آن نيست. اين تعريف صرفا ناظر به نحوه ارزش گذاري يك Honeypot است. به عبارت ساده تر، Honeypot ها يك تكنولوژي هستند كه ارزش آنها به تعامل مجرمان با آنها بستگي دارد. تمامي Honeypot ها بر اساس يك ايده كار مي­كنند: هيچكس نبايد از آنها استفاده كند و يا با آنها تعامل برقرار نمايد، هر تعاملي با Honeypot غير مجاز شمرده شده و نشانه اي از يك حركت خرابكارانه به شمار مي­رود.

يك Honeypot سيستمي است كه در شبكه سازمان قرار مي­گيرد، اما براي كاربران آن شبكه هيچ كاربردي ندارد و در حقيقت هيچ يك از اعضاي سازمان حق برقراري هيچگونه ارتباطي با اين سيستم را ندارند. اين سيستم داراي يك سري ضعفهاي امنيتي است. از آنجاييكه مهاجمان براي نفوذ به يك شبكه هميشه به دنبال سيستمهاي داراي ضعف مي­گردند، اين سيستم توجه آنها را به خود جلب مي­كند. و با توجه به اينكه هيچكس حق ارتباط با اين سيستم را ندارد، پس هر تلاشي براي برقراري ارتباط با اين سيستم، يك تلاش خرابكارانه از سوي مهاجمان محسوب مي­شود. در حقيقت اين سيستم نوعي دام است كه مهاجمان را فريب داده و به سوي خود جلب مي­كند و به اين ترتيب علاوه بر امكان نظارت و كنترل كار مهاجمان، اين فرصت را نيز به سازمان مي­دهد كه فرد مهاجم را از سيستمهاي اصلي شبكه خود دور نگه دارند.

يك Honeypot هيچ سرويس واقعي ارائه نمي­دهد. هر تعاملي كه انجام گيرد، هر تلاشي كه براي ورود به اين سيستم صورت گيرد، يا هر فايل داده اي كه روي يك Honeypot مورد دسترسي قرار گيرد، با احتمال بسيار زياد نشانه اي از يك فعاليت خرابكارانه و غير مجاز است. براي مثال، يك سيستم Honeypot مي­تواند روي يك شبكه داخلي به كار گرفته شود. اين Honeypot از هيچ ارزش خاصي برخوردار نيست و هيچكس در درون سازمان نيازي به استفاده از آن نداشته و نبايد از آن استفاده كند. اين سيستم مي­تواند به ظاهر يك فايل سرور، يك وب سرور، يا حتي يك ايستگاه كاري معمولي باشد. اگر كسي با اين سيستم ارتباط برقرار نمايد، با احتمال زياد در حال انجام يك فعاليت غير مجاز يا خرابكارانه است.

در حقيقت، يك Honeypot حتي لازم نيست كه حتما يك كامپيوتر باشد. اين سيستم مي­تواند هر نوع نهاد ديجيتالي باشد (معمولا از آن به Honeytoken ياد مي­شود) كه هيچ ارزش واقعي ندارد. براي مثال، يك بيمارستان مي­تواند يك مجموعه نادرست از ركوردهاي اطلاعاتي بيماران ايجاد نمايد. از آنجاييكه اين ركوردها Honeypot هستند، هيچكس نبايد به آنها دسترسي پيدا كرده يا با آنها تعامل برقرار كند. اين ركوردها مي­توانند در داخل پايگاه داده بيماران اين بيمارستان به عنوان يك جزء Honeypot قرار گيرند. اگر يك كارمند يا يك فرد مهاجم براي دسترسي به اين ركوردها تلاش نمايد، مي­تواند به عنوان نشانه اي از يك فعاليت غير مجاز به شمار رود، چرا كه هيچكس نبايد از اين ركوردها استفاده كند. اگر شخصي يا چيزي به اين ركوردها دسترسي پيدا كند، يك پيغام هشدار صادر مي­شود. اين ايده ساده پشت Honeypot هاست كه آنها را ارزشمند مي­كند.
دو يا چند Honeypot كه در يك شبكه قرار گرفته باشند، يك Honeynet را تشكيل مي­دهند. نوعا در شبكه هاي بزرگتر و متنوعتر كه يك Honeypot به تنهايي براي نظارت بر شبكه كافي نيست، از Honeynet استفاده مي­كنند. Honeynet ها معمولا به عنوان بخشي از يك سيستم بزرگ تشخيص نفوذ پياده سازي مي­شوند. در حقيقت Honeynet يك شبكه از Honeypot هاي با تعامل بالاست كه طوري تنظيم شده است كه تمامي فعاليتها و تعاملها با اين شبكه، كنترل و ثبت مي­شود.

مزاياي استفاده از Honeypot

· Honeypot ها صرفا مجموعه هاي كوچكي از داده ها را جمع آوري مي­كنند.

Honeypot ها فقط زماني كه كسي يا چيزي با آنها ارتباط برقرار كند داده ها را جمع آوري مي­نمايند، در نتيجه صرفا مجموعه هاي بسيار كوچكي از داده ها را جمع مي­كنند، كه البته اين داده ها بسيار ارزشمندند. سازمانهايي كه هزاران پيغام هشدار را در هر روز ثبت مي­كنند، با استفاده از Honeypot ها ممكن است فقط صد پيغام هشدار را ثبت نمايند. اين موضوع باعث مي­شود كه مديريت و تحليل داده هاي جمع آوري شده توسط Honeypot ها بسيار ساده تر باشد.

· Honeypot ها موارد خطاهاي تشخيص اشتباه را كاهش مي­دهند.

يكي از مهمترين چالشهاي اغلب سيستمهاي تشخيصي اين است كه پيغامهاي هشدار دهنده خطاي زيادي توليد كرده و در موارد زيادي، اين پيغامهاي هشدار دهنده واقعا نشان دهنده وقوع هيچ خطري نيستند. يعني در حالي يك رويداد را تهديد تشخيص مي­دهند كه در حقيقت تهديدي در كار نيست. هر چه احتمال اين تشخيص اشتباه بيشتر باشد، تكنولوژي تشخيص دهنده بي فايده تر مي­شود. Honeypot ها به طور قابل توجهي درصد اين تشخيصهاي اشتباه را كاهش مي­دهند، چرا كه تقريبا هر فعاليت مرتبط با Honeypot ها به طور پيش فرض غير مجاز تعريف شده است. به همين دليل Honeypot ها در تشخيص حملات بسيار موثرند.

· Honeypot ها مي­توانند حملات ناشناخته را تشخيص دهند.

چالش ديگري كه در تكنولوژيهاي تشخيصي معمول وجود دارد اين است كه آنها معمولا حملات ناشناخته را تشخيص نمي­دهند. اين يك تفاوت بسيار حياتي و مهم بين Honeypot ها و تكنولوژيهاي امنيت كامپيوتري معمولي است كه بر اساس امضاهاي شناخته شده يا داده هاي آماري تشخيص مي­دهند. تكنولوژيهاي تشخيصي مبتني بر امضا، در تعريف به اين معنا هستند كه ابتدا بايد هر حمله اي حداقل يك بار انجام شده و امضاي آن شناسايي گردد و سپس با استفاده از آن امضا، در موارد بعدي شناخته شود. تشخيص مبتني بر داده هاي آماري نيز از خطاهاي آماري رنج مي­برد. Honeypot ها طوري طراحي شده اند كه حملات جديد را نيز شناسايي و كشف مي­كنند. چرا كه هر فعاليتي در ارتباط با Honeypot ها غير معمول شناخته شده و در نتيجه حملات جديد را نيز معرفي مي­كند.

· Honeypot ها فعاليتهاي رمز شده را نيز كشف مي­كنند.

حتي اگر يك حمله رمز شده باشد، Honeypot ها مي­توانند اين فعاليت را كشف كنند. به تدريج كه تعداد بيشتري از سازمانها از پروتكلهاي رمزگذاري مانند SSH، IPsec، و SSL استفاده مي­كنند، اين مساله بيشتر خود را نشان مي­دهد. Honeypot ها مي­توانند اين كار را انجام دهند، چرا كه حملات رمز شده با Honeypot به عنوان يك نقطه انتهايي ارتباط، تعامل برقرار مي­كنند و اين فعاليت توسط Honeypot رمز گشايي مي­شود.

· Honeypot با IPv6 كار مي­كند.

اغلب Honeypot ها صرف نظر از پروتكل IP از جمله IPv6، در هر محيط IP كار مي­كنند. IPv6 يك استاندارد جديد پروتكل اينترنت (IP) است كه بسياري از سازمانها در بسياري از كشورها از آن استفاده مي­كنند. بسياري از تكنولوژيهاي فعلي مانند فايروالها و سنسورهاي سيستم تشخيص نفوذ به خوبي با IPv6 سازگار نشده اند.

· Honeypot ها بسيار انعطاف پذيرند.

Honeypot ها بسيار انعطاف پذيرند و مي­توانند در محيطهاي مختلفي مورد استفاده قرار گيرند. همين قابليت انعطاف Honeypot هاست كه به آنها اجازه مي­دهد كاري را انجام دهند كه تعداد بسيار كمي از تكنولوژيها مي­توانند انجام دهند: جمع آوري اطلاعات ارزشمند به خصوص بر عليه حملات داخلي.

· Honeypot ها به حداقل منابع نياز دارند.

حتي در بزرگترين شبكه ها، Honeypot ها به حداقل منابع احتياج دارند. يك كامپيوتر پنتيوم قديمي و ساده مي­تواند ميليونها آدرس IP يا يك شبكه OC-12 را نظارت نمايد.

معايب استفاده از Honeypot

Honeypot ها نيز مانند هر تكنولوژي ديگري معايبي دارند. آنها براي اين طراحي نشده اند كه جاي هيچ تكنولوژي خاصي را بگيرند.

· Honeypot ها داراي يك محدوده ديد كوچك و محدود هستند.

Honeypot ها فقط همان كساني را مي­بينند كه با آنها به تعامل مي­پردازند. در نتيجه حملات بر عليه ساير سيستمها و يا تعاملات انجام شده با ساير سيستمها را مشاهده نمي­كنند. اين نكته در عين حال كه يك مزيت است، يك عيب نيز به شمار مي­رود. يك Honeypot به شما نمي­گويد كه سيستم ديگري مورد سوء استفاده قرار گرفته است، مگر اينكه سيستمي كه مورد سوء استفاده قرار گرفته با خود Honeypot تعاملي برقرار نمايد. براي برطرف كردن اين عيب راههاي زيادي وجود دارد كه از طريق آنها مي­توانيد فعاليت مهاجمان را به سمت Honeypot ها تغيير مسير دهيد. از اين ميان مي­توان به Honeytoken ها و تغيير مسير اشاره كرد.

· ريسك

هر زمان كه شما يك تكنولوژي جديد را به كار مي­گيريد، آن تكنولوژي ريسكهاي مخصوص به خود را نيز به همراه دارد، مثلا اين ريسك كه يك مهاجم بر اين سيستم غلبه كرده و از آن به عنوان ابزاري براي حملات بر عليه اهداف داخلي و خارجي استفاده نمايد. حتي سيستمهاي تشخيص نفوذ كه هيچ پشته IP به آنها تخصيص داده نشده است نيز مي­توانند در معرض خطر قرار داشته باشند. Honeypot ها نيز در اين مورد استثناء نيستند. Honeypot هاي مختلف سطوح خطر متفاوتي دارند. راههاي مختلفي نيز براي كاهش اين خطرات وجود دارد. از ميان انواع Honeypot ها، هاني نتها بيشترين سطح خطر را دارا هستند.

در مقالات آينده به انواع Honeypot و كاربردهاي اين سيستمها خواهيم پرداخت.