هانی پات چیست ؟

هانی پات ها یك تكنولوژی تقریبا جدید و شدیدا پویا هستند. همین ماهیت پویا باعث می­شود كه به راحتی نتوان آنها را تعریف كرد. Honeypot ها به خودی خود یك راه حل به شمار نرفته و هیچ مشكل امنیتی خاصی را حل نمی­كنند، بلكه ابزارهای بسیار انعطاف پذیری هستند كه كارهای مختلفی برای امنیت اطلاعات انجام می­دهند.
این تكنولوژی با تكنولوژیهایی مانند فایروالها و سیستمهای تشخیص نفوذ (IDS) متفاوت است، چرا كه این تكنولوژیها مسائل امنیتی خاصی را حل كرده و به همین دلیل راحتتر تعریف می­شوند. فایروالها یك تكنولوژی پیشگیرانه به شمار می آیند، آنها از ورود مهاجمان به شبكه یا سیستم كامپیوتر جلوگیری می­كنند. IDS ها یك تكنولوژی تشخیصی هستند. هدف آنها این است كه فعالیتهای غیر مجاز یا خرابكارانه را شناسایی كرده و درباره آنها به متخصصان امنیت هشدار دهند. تعریف Honeypot ها كار سخت تری است، چرا كه آنها ممكن است در پیشگیری، تشخیص، جمع آوری اطلاعات، و كارهای دیگری مورد استفاده قرار گیرند. شاید بتوان یك Honeypot را به این صورت تعریف كرد:
«Honeypot یك سیستم اطلاعاتی است كه ارزش آن به استفاده غیر مجاز و ممنوع دیگران از آن است.»
این تعریف به وسیله اعضای لیست ایمیل Honeypot انجام شده است. لیست ایمیل Honeypot یك فروم متشكل از بیش از 5000 متخصص امنیت است. از آنجاییكه Honeypot ها در اشكال و اندازه های مختلفی وجود دارند، ارائه تعریف جامعی از آن كار بسیار سختی است. تعریف یك Honeypot نشان دهنده نحوه كار آن و یا حتی هدف آن نیست. این تعریف صرفا ناظر به نحوه ارزش گذاری یك Honeypot است. به عبارت ساده تر، Honeypot ها یك تكنولوژی هستند كه ارزش آنها به تعامل مجرمان با آنها بستگی دارد. تمامی Honeypot ها بر اساس یك ایده كار می­كنند: هیچكس نباید از آنها استفاده كند و یا با آنها تعامل برقرار نماید، هر تعاملی با Honeypot غیر مجاز شمرده شده و نشانه ای از یك حركت خرابكارانه به شمار می­رود.
یك Honeypot سیستمی است كه در شبكه سازمان قرار می­گیرد، اما برای كاربران آن شبكه هیچ كاربردی ندارد و در حقیقت هیچ یك از اعضای سازمان حق برقراری هیچگونه ارتباطی با این سیستم را ندارند. این سیستم دارای یك سری ضعفهای امنیتی است. از آنجاییكه مهاجمان برای نفوذ به یك شبكه همیشه به دنبال سیستمهای دارای ضعف می­گردند، این سیستم توجه آنها را به خود جلب می­كند. و با توجه به اینكه هیچكس حق ارتباط با این سیستم را ندارد، پس هر تلاشی برای برقراری ارتباط با این سیستم، یك تلاش خرابكارانه از سوی مهاجمان محسوب می­شود. در حقیقت این سیستم نوعی دام است كه مهاجمان را فریب داده و به سوی خود جلب می­كند و به این ترتیب علاوه بر امكان نظارت و كنترل كار مهاجمان، این فرصت را نیز به سازمان می­دهد كه فرد مهاجم را از سیستمهای اصلی شبكه خود دور نگه دارند.
یك Honeypot هیچ سرویس واقعی ارائه نمی­دهد. هر تعاملی كه انجام گیرد، هر تلاشی كه برای ورود به این سیستم صورت گیرد، یا هر فایل داده ای كه روی یك Honeypot مورد دسترسی قرار گیرد، با احتمال بسیار زیاد نشانه ای از یك فعالیت خرابكارانه و غیر مجاز است. برای مثال، یك سیستم Honeypot می­تواند روی یك شبكه داخلی به كار گرفته شود. این Honeypot از هیچ ارزش خاصی برخوردار نیست و هیچكس در درون سازمان نیازی به استفاده از آن نداشته و نباید از آن استفاده كند. این سیستم می­تواند به ظاهر یك فایل سرور، یك وب سرور، یا حتی یك ایستگاه كاری معمولی باشد. اگر كسی با این سیستم ارتباط برقرار نماید، با احتمال زیاد در حال انجام یك فعالیت غیر مجاز یا خرابكارانه است.
در حقیقت، یك Honeypot حتی لازم نیست كه حتما یك كامپیوتر باشد. این سیستم می­تواند هر نوع نهاد دیجیتالی باشد (معمولا از آن به Honeytoken یاد می­شود) كه هیچ ارزش واقعی ندارد. برای مثال، یك بیمارستان می­تواند یك مجموعه نادرست از ركوردهای اطلاعاتی بیماران ایجاد نماید. از آنجاییكه این ركوردها Honeypot هستند، هیچكس نباید به آنها دسترسی پیدا كرده یا با آنها تعامل برقرار كند. این ركوردها می­توانند در داخل پایگاه داده بیماران این بیمارستان به عنوان یك جزء Honeypot قرار گیرند. اگر یك كارمند یا یك فرد مهاجم برای دسترسی به این ركوردها تلاش نماید، می­تواند به عنوان نشانه ای از یك فعالیت غیر مجاز به شمار رود، چرا كه هیچكس نباید از این ركوردها استفاده كند. اگر شخصی یا چیزی به این ركوردها دسترسی پیدا كند، یك پیغام هشدار صادر می­شود. این ایده ساده پشت Honeypot هاست كه آنها را ارزشمند می­كند.
دو یا چند Honeypot كه در یك شبكه قرار گرفته باشند، یك Honeynet را تشكیل می­دهند. نوعا در شبكه های بزرگتر و متنوعتر كه یك Honeypot به تنهایی برای نظارت بر شبكه كافی نیست، از Honeynet استفاده می­كنند. Honeynet ها معمولا به عنوان بخشی از یك سیستم بزرگ تشخیص نفوذ پیاده سازی می­شوند. در حقیقت Honeynet یك شبكه از Honeypot های با تعامل بالاست كه طوری تنظیم شده است كه تمامی فعالیتها و تعاملها با این شبكه، كنترل و ثبت می­شود.

مزایای استفاده از Honeypot

• Honeypot ها صرفا مجموعه های كوچكی از داده ها را جمع آوری می­كنند. Honeypot ها فقط زمانی كه كسی یا چیزی با آنها ارتباط برقرار كند داده ها را جمع آوری می­نمایند، در نتیجه صرفا مجموعه های بسیار كوچكی از داده ها را جمع می­كنند، كه البته این داده ها بسیار ارزشمندند. سازمانهایی كه هزاران پیغام هشدار را در هر روز ثبت می­كنند، با استفاده از Honeypot ها ممكن است فقط صد پیغام هشدار را ثبت نمایند. این موضوع باعث می­شود كه مدیریت و تحلیل داده های جمع آوری شده توسط Honeypot ها بسیار ساده تر باشد.
• Honeypot ها موارد خطاهای تشخیص اشتباه را كاهش می­دهند. یكی از مهمترین چالشهای اغلب سیستمهای تشخیصی این است كه پیغامهای هشدار دهنده خطای زیادی تولید كرده و در موارد زیادی، این پیغامهای هشدار دهنده واقعا نشان دهنده وقوع هیچ خطری نیستند. یعنی در حالی یك رویداد را تهدید تشخیص می­دهند كه در حقیقت تهدیدی در كار نیست. هر چه احتمال این تشخیص اشتباه بیشتر باشد، تكنولوژی تشخیص دهنده بی فایده تر می­شود. Honeypot ها به طور قابل توجهی درصد این تشخیصهای اشتباه را كاهش می­دهند، چرا كه تقریبا هر فعالیت مرتبط با Honeypot ها به طور پیش فرض غیر مجاز تعریف شده است. به همین دلیل Honeypot ها در تشخیص حملات بسیار موثرند.
• Honeypot ها می­توانند حملات ناشناخته را تشخیص دهند. چالش دیگری كه در تكنولوژیهای تشخیصی معمول وجود دارد این است كه آنها معمولا حملات ناشناخته را تشخیص نمی­دهند. این یك تفاوت بسیار حیاتی و مهم بین Honeypot ها و تكنولوژیهای امنیت كامپیوتری معمولی است كه بر اساس امضاهای شناخته شده یا داده های آماری تشخیص می­دهند. تكنولوژیهای تشخیصی مبتنی بر امضا، در تعریف به این معنا هستند كه ابتدا باید هر حمله ای حداقل یك بار انجام شده و امضای آن شناسایی گردد و سپس با استفاده از آن امضا، در موارد بعدی شناخته شود. تشخیص مبتنی بر داده های آماری نیز از خطاهای آماری رنج می­برد. Honeypot ها طوری طراحی شده اند كه حملات جدید را نیز شناسایی و كشف می­كنند. چرا كه هر فعالیتی در ارتباط با Honeypot ها غیر معمول شناخته شده و در نتیجه حملات جدید را نیز معرفی می­كند.
• Honeypot ها فعالیتهای رمز شده را نیز كشف می­كنند. حتی اگر یك حمله رمز شده باشد، Honeypot ها می­توانند این فعالیت را كشف كنند. به تدریج كه تعداد بیشتری از سازمانها از پروتكلهای رمزگذاری مانند SSH، IPsec، و SSL استفاده می­كنند، این مساله بیشتر خود را نشان می­دهد. Honeypot ها می­توانند این كار را انجام دهند، چرا كه حملات رمز شده با Honeypot به عنوان یك نقطه انتهایی ارتباط، تعامل برقرار می­كنند و این فعالیت توسط Honeypot رمز گشایی می­شود.
• Honeypot با IPv6 كار می­كند. اغلب Honeypot ها صرف نظر از پروتكل IP از جمله IPv6، در هر محیط IP كار می­كنند. IPv6 یك استاندارد جدید پروتكل اینترنت (IP) است كه بسیاری از سازمانها در بسیاری از كشورها از آن استفاده می­كنند. بسیاری از تكنولوژیهای فعلی مانند فایروالها و سنسورهای سیستم تشخیص نفوذ به خوبی با IPv6 سازگار نشده اند.
• Honeypot ها بسیار انعطاف پذیرند. Honeypot ها بسیار انعطاف پذیرند و می­توانند در محیطهای مختلفی مورد استفاده قرار گیرند. همین قابلیت انعطاف Honeypot هاست كه به آنها اجازه می­دهد كاری را انجام دهند كه تعداد بسیار كمی از تكنولوژیها می­توانند انجام دهند: جمع آوری اطلاعات ارزشمند به خصوص بر علیه حملات داخلی.
• Honeypot ها به حداقل منابع نیاز دارند. حتی در بزرگترین شبكه ها، Honeypot ها به حداقل منابع احتیاج دارند. یك كامپیوتر پنتیوم قدیمی و ساده می­تواند میلیونها آدرس IP یا یك شبكه OC-12 را نظارت نماید.

معایب استفاده از Honeypot

Honeypot ها نیز مانند هر تكنولوژی دیگری معایبی دارند. آنها برای این طراحی نشده اند كه جای هیچ تكنولوژی خاصی را بگیرند.

• Honeypot ها دارای یك محدوده دید كوچك و محدود هستند. Honeypot ها فقط همان كسانی را می­بینند كه با آنها به تعامل می­پردازند. در نتیجه حملات بر علیه سایر سیستمها و یا تعاملات انجام شده با سایر سیستمها را مشاهده نمی­كنند. این نكته در عین حال كه یك مزیت است، یك عیب نیز به شمار می­رود. یك Honeypot به شما نمی­گوید كه سیستم دیگری مورد سوء استفاده قرار گرفته است، مگر اینكه سیستمی كه مورد سوء استفاده قرار گرفته با خود Honeypot تعاملی برقرار نماید. برای برطرف كردن این عیب راههای زیادی وجود دارد كه از طریق آنها می­توانید فعالیت مهاجمان را به سمت Honeypot ها تغییر مسیر دهید. از این میان می­توان به Honeytoken ها و تغییر مسیر اشاره كرد.
• ریسك هر زمان كه شما یك تكنولوژی جدید را به كار می­گیرید، آن تكنولوژی ریسكهای مخصوص به خود را نیز به همراه دارد، مثلا این ریسك كه یك مهاجم بر این سیستم غلبه كرده و از آن به عنوان ابزاری برای حملات بر علیه اهداف داخلی و خارجی استفاده نماید. حتی سیستمهای تشخیص نفوذ كه هیچ پشته IP به آنها تخصیص داده نشده است نیز می­توانند در معرض خطر قرار داشته باشند. Honeypot ها نیز در این مورد استثناء نیستند. Honeypot های مختلف سطوح خطر متفاوتی دارند. راههای مختلفی نیز برای كاهش این خطرات وجود دارد. از میان انواع Honeypot ها، هانی نتها بیشترین سطح خطر را دارا هستند.