هانی پات (HoneyPot) چیست؟ و انواع آن

[The moon]

هانی پات چیست؟
هانی‌پات یک سیستم اطلاعاتی است که شامل اطلاعات غلط و گمراه کننده می باشد و به وسیله آن می توان تمامی فعالیت های غیرمجاز و غیرقانونی را شناسایی کرد. به زبان ساده هانی‌پات یک منبع اطلاعاتی ای است که به صورت عمدی در شبکه قرار گرفته تا توسط هکر مورد نفوذ قرار بگیرد و با استفاده از این اطلاعات نفوذگران فریب خورده و اطلاعاتی شامل زمان، تاریخ و نحوهٔ ورود آن ها به شبکه و فعالیتشان در شبکه و …  جمع‌آوری شود. از جمله مزایای استفاده از هانی پات می توان به شناخت نقاط ضعف سیستم ها و جمع آوری اطلاعات لازم برای تعقیب و به دام انداختن نفوذگران اشاره کرد.

انواع هانی پات ها
هانی پات ها را بر اساس شیوه به‌کارگیری آن و کاری که انجام میدهد به دو روش کلی می توان تقسیم بندی کرد:
هانی‌پات‌ سازمانی: این نوع سیستم زمانی استفاده می شود که یک سازمان بخواهد نفوذگر را به دام انداخته و تحت پیگرد قانونی قرار دهد. از آنجایی که این نوع از هانی‌پات‌ها نقش عملیاتی کمتری دارند، در نتیجه اطلاعات زیادی را در مورد نفوذگرها و حملات، جمع‌آوری نمی‌کنند.
هانی‌پات‌ پژوهشی: این نوع سیستم وقتی استفاده می شود که سازمان می‌خواهد امنیت شبکه و سیستم های خود را فقط با یادگیری تست نفوذ، منشا حمله و روشهای آن، همچنین اکسپلویت های استفاده شده بالاتر ببرد. این نوع از هانی‌پات ها برای جمع‌آوری اطلاعات دربارهٔ حمله‌کننده‌ها پیاده‌سازی شده، استفاده می شود. با مطالعه بر روی رفتار نفوذگران، از قبیل ابزارهای مورداستفاده و گرایش آن‌ها به طور غیر مستقیم امنیت نسبی را می توان برقرار کرد.

مزایای استفاده از هانی‌ پات
ساده بودن: مزیت اول آن ساده بودن آن می باشد و فقط کافی است ارتباط هانی پات را با شبکه برقرار کنید. تا به صورت خود کار اطلاعات مربوط به نفوذگران را جمع آوری کند.
میزان اهمیت داده ها: به طور عادی هنگام نفوذ در شبکه واقعی به دلیل وجود اطلاعات قبلی در سیستم و ترکیب داده های عادی و داده های نفوذ وجود دارد؛ حجم اطلاعات به طبع آن زیاد است.درحالی که در هانی‌پات ها با وجود اطلاعات کم، ارزش آن بالاست.
مکانیزم واکنش: با وجود اطلاعات بی ارزش در هانی پات ها و وسوسه نفوذگران به آن دست نفوذگران رو شده و از ابزار هایی که آنان برای به دست گرفتن کنترل سیستم استفاده می کنند کشف می شود.

معایب استفاده از هانی‌ پات
محدودیت داشتن: هانی پات فقط می تواند از وقایع داخل شبکه اطلاعات جمع آوری کند، حال اگر بیرون از شبکه رخدادی در حال وقوع باشد، هانی پات از وجود آن بی خبر است و قابل شناسایی نمی باشد.
قابل ردیابی بودن: از ضعف دیگر هانی پات قابل ردیابی بودن آن است، این نوع ضعف در نوع پژوهشی بیشتر خود را نشان می دهد اما نفوذگرهای ماهر میتوانند با شناسایی هانی پات و وارد کردن اطلاعات غلط آن را دور بزنند و در نتیجه تصمیم گیری برای مدیران شبکه سخت شده و باعث سردرگمی آن ها خواهد شد.
قابلیت نفوذ: گاهی ممکن است نفوذگر با حمله به هانی پات بتواند به شبکه اصلی دسترسی پیدا کند. این اتفاق در نوع پژوهشی به وفور یافت می شود اما در نوع سازمانی به ندرت نمایان می شود.

معرفی هانی پات های معروف
BOF: یک هانی‌پات کم واکنش از شرکت NFR security است که بر روی سیستم عامل ویندوز نصب می‌شود و تعداد محدودی از سرویس‌ها را تقلید می‌کند. به علت محدود بودن تعداد سرویس‌ها، نفوذگرها تحریک می‌شوند که با آن واکنش داشته باشند. این سیستم برای تشخیص حملات Back orifice طراحی شده‌است. Back orifice یک برنامه نفوذی است که سیستم را از راه دور کنترل می‌کند. مانند خیلی از ویروس‌ها، برنامهٔ روی سیستم قربانی دانلود شده و بعد از باز شدن توسط کاربر، بر روی سیستم نصب می‌شوند و سیستم را تحت کنترل مهاجم در می آورد. با وجود BOF در سیستم، هر گونه کنترل از راه دور توسط آن کشف شده و آدرس و عملیات نفوذگر ثبت می‌شود.

Honeyd: یک هانی‌پات کم واکنش متن باز برای سیستم‌های Unix می‌باشد که برای کشف حملات و فعالیت‌های غیرمجاز طراحی شده‌است و به علت متن باز بودن قابلیت تنظیم و تقلید بالایی را برای کاربر فراهم می‌سازد. یکی از ویژگی‌های جالب آن این است که به جای کشف آدرس مهاجم، به آدرس سیستم‌های نامعتبر توجه می‌کند یعنی با مانیتور کردن آدرس‌های بلا استفاده، به محض آنکه درخواست ارتباطی از سوی این نوع آدرس‌ها دریافت شد، آن را از سوی مهاجم فرض می‌کند.

Decoy server: یک هانی‌پات با عملکرد مطلوب از شرکت symantec است. یک محیط زندان مانند توسط این هانی‌پات ایجاد می‌شود و مهاجم در این قفس مجازی با امکانات یک سیستم عامل محدود مواجه شده و امکان گریز هم ندارد. امکان پیاده سازی 4 عدد از این نوع قفس ها در یک سیستم وجود دارد.

source: kaliboys