هانی پات ها یك تكنولوژی تقریبا جدید و شدیدا پویا هستند. همین ماهیت پویا باعث میشود كه به راحتی نتوان آنها را تعریف كرد. Honeypot ها به خودی خود یك راه حل به شمار نرفته و هیچ مشكل امنیتی خاصی را حل نمیكنند، بلكه ابزارهای بسیار انعطاف پذیری هستند كه كارهای مختلفی برای امنیت اطلاعات انجام میدهند.
این تكنولوژی با تكنولوژیهایی مانند فایروالها و سیستمهای تشخیص نفوذ (IDS) متفاوت است، چرا كه این تكنولوژیها مسائل امنیتی خاصی را حل كرده و به همین دلیل راحتتر تعریف میشوند. فایروالها یك تكنولوژی پیشگیرانه به شمار می آیند، آنها از ورود مهاجمان به شبكه یا سیستم كامپیوتر جلوگیری میكنند. IDS ها یك تكنولوژی تشخیصی هستند. هدف آنها این است كه فعالیتهای غیر مجاز یا خرابكارانه را شناسایی كرده و درباره آنها به متخصصان امنیت هشدار دهند. تعریف Honeypot ها كار سخت تری است، چرا كه آنها ممكن است در پیشگیری، تشخیص، جمع آوری اطلاعات، و كارهای دیگری مورد استفاده قرار گیرند. شاید بتوان یك Honeypot را به این صورت تعریف كرد:
«Honeypot یك سیستم اطلاعاتی است كه ارزش آن به استفاده غیر مجاز و ممنوع دیگران از آن است.»
این تعریف به وسیله اعضای لیست ایمیل Honeypot انجام شده است. لیست ایمیل Honeypot یك فروم متشكل از بیش از 5000 متخصص امنیت است. از آنجاییكه Honeypot ها در اشكال و اندازه های مختلفی وجود دارند، ارائه تعریف جامعی از آن كار بسیار سختی است. تعریف یك Honeypot نشان دهنده نحوه كار آن و یا حتی هدف آن نیست. این تعریف صرفا ناظر به نحوه ارزش گذاری یك Honeypot است. به عبارت ساده تر، Honeypot ها یك تكنولوژی هستند كه ارزش آنها به تعامل مجرمان با آنها بستگی دارد. تمامی Honeypot ها بر اساس یك ایده كار میكنند: هیچكس نباید از آنها استفاده كند و یا با آنها تعامل برقرار نماید، هر تعاملی با Honeypot غیر مجاز شمرده شده و نشانه ای از یك حركت خرابكارانه به شمار میرود.
یك Honeypot سیستمی است كه در شبكه سازمان قرار میگیرد، اما برای كاربران آن شبكه هیچ كاربردی ندارد و در حقیقت هیچ یك از اعضای سازمان حق برقراری هیچگونه ارتباطی با این سیستم را ندارند. این سیستم دارای یك سری ضعفهای امنیتی است. از آنجاییكه مهاجمان برای نفوذ به یك شبكه همیشه به دنبال سیستمهای دارای ضعف میگردند، این سیستم توجه آنها را به خود جلب میكند. و با توجه به اینكه هیچكس حق ارتباط با این سیستم را ندارد، پس هر تلاشی برای برقراری ارتباط با این سیستم، یك تلاش خرابكارانه از سوی مهاجمان محسوب میشود. در حقیقت این سیستم نوعی دام است كه مهاجمان را فریب داده و به سوی خود جلب میكند و به این ترتیب علاوه بر امكان نظارت و كنترل كار مهاجمان، این فرصت را نیز به سازمان میدهد كه فرد مهاجم را از سیستمهای اصلی شبكه خود دور نگه دارند.
یك Honeypot هیچ سرویس واقعی ارائه نمیدهد. هر تعاملی كه انجام گیرد، هر تلاشی كه برای ورود به این سیستم صورت گیرد، یا هر فایل داده ای كه روی یك Honeypot مورد دسترسی قرار گیرد، با احتمال بسیار زیاد نشانه ای از یك فعالیت خرابكارانه و غیر مجاز است. برای مثال، یك سیستم Honeypot میتواند روی یك شبكه داخلی به كار گرفته شود. این Honeypot از هیچ ارزش خاصی برخوردار نیست و هیچكس در درون سازمان نیازی به استفاده از آن نداشته و نباید از آن استفاده كند. این سیستم میتواند به ظاهر یك فایل سرور، یك وب سرور، یا حتی یك ایستگاه كاری معمولی باشد. اگر كسی با این سیستم ارتباط برقرار نماید، با احتمال زیاد در حال انجام یك فعالیت غیر مجاز یا خرابكارانه است.
در حقیقت، یك Honeypot حتی لازم نیست كه حتما یك كامپیوتر باشد. این سیستم میتواند هر نوع نهاد دیجیتالی باشد (معمولا از آن به Honeytoken یاد میشود) كه هیچ ارزش واقعی ندارد. برای مثال، یك بیمارستان میتواند یك مجموعه نادرست از ركوردهای اطلاعاتی بیماران ایجاد نماید. از آنجاییكه این ركوردها Honeypot هستند، هیچكس نباید به آنها دسترسی پیدا كرده یا با آنها تعامل برقرار كند. این ركوردها میتوانند در داخل پایگاه داده بیماران این بیمارستان به عنوان یك جزء Honeypot قرار گیرند. اگر یك كارمند یا یك فرد مهاجم برای دسترسی به این ركوردها تلاش نماید، میتواند به عنوان نشانه ای از یك فعالیت غیر مجاز به شمار رود، چرا كه هیچكس نباید از این ركوردها استفاده كند. اگر شخصی یا چیزی به این ركوردها دسترسی پیدا كند، یك پیغام هشدار صادر میشود. این ایده ساده پشت Honeypot هاست كه آنها را ارزشمند میكند.
دو یا چند Honeypot كه در یك شبكه قرار گرفته باشند، یك Honeynet را تشكیل میدهند. نوعا در شبكه های بزرگتر و متنوعتر كه یك Honeypot به تنهایی برای نظارت بر شبكه كافی نیست، از Honeynet استفاده میكنند. Honeynet ها معمولا به عنوان بخشی از یك سیستم بزرگ تشخیص نفوذ پیاده سازی میشوند. در حقیقت Honeynet یك شبكه از Honeypot های با تعامل بالاست كه طوری تنظیم شده است كه تمامی فعالیتها و تعاملها با این شبكه، كنترل و ثبت میشود.
مزایای استفاده از Honeypot
- Honeypot ها صرفا مجموعه های كوچكی از داده ها را جمع آوری میكنند. Honeypot ها فقط زمانی كه كسی یا چیزی با آنها ارتباط برقرار كند داده ها را جمع آوری مینمایند، در نتیجه صرفا مجموعه های بسیار كوچكی از داده ها را جمع میكنند، كه البته این داده ها بسیار ارزشمندند. سازمانهایی كه هزاران پیغام هشدار را در هر روز ثبت میكنند، با استفاده از Honeypot ها ممكن است فقط صد پیغام هشدار را ثبت نمایند. این موضوع باعث میشود كه مدیریت و تحلیل داده های جمع آوری شده توسط Honeypot ها بسیار ساده تر باشد.
- Honeypot ها موارد خطاهای تشخیص اشتباه را كاهش میدهند. یكی از مهمترین چالشهای اغلب سیستمهای تشخیصی این است كه پیغامهای هشدار دهنده خطای زیادی تولید كرده و در موارد زیادی، این پیغامهای هشدار دهنده واقعا نشان دهنده وقوع هیچ خطری نیستند. یعنی در حالی یك رویداد را تهدید تشخیص میدهند كه در حقیقت تهدیدی در كار نیست. هر چه احتمال این تشخیص اشتباه بیشتر باشد، تكنولوژی تشخیص دهنده بی فایده تر میشود. Honeypot ها به طور قابل توجهی درصد این تشخیصهای اشتباه را كاهش میدهند، چرا كه تقریبا هر فعالیت مرتبط با Honeypot ها به طور پیش فرض غیر مجاز تعریف شده است. به همین دلیل Honeypot ها در تشخیص حملات بسیار موثرند.
- Honeypot ها میتوانند حملات ناشناخته را تشخیص دهند. چالش دیگری كه در تكنولوژیهای تشخیصی معمول وجود دارد این است كه آنها معمولا حملات ناشناخته را تشخیص نمیدهند. این یك تفاوت بسیار حیاتی و مهم بین Honeypot ها و تكنولوژیهای امنیت كامپیوتری معمولی است كه بر اساس امضاهای شناخته شده یا داده های آماری تشخیص میدهند. تكنولوژیهای تشخیصی مبتنی بر امضا، در تعریف به این معنا هستند كه ابتدا باید هر حمله ای حداقل یك بار انجام شده و امضای آن شناسایی گردد و سپس با استفاده از آن امضا، در موارد بعدی شناخته شود. تشخیص مبتنی بر داده های آماری نیز از خطاهای آماری رنج میبرد. Honeypot ها طوری طراحی شده اند كه حملات جدید را نیز شناسایی و كشف میكنند. چرا كه هر فعالیتی در ارتباط با Honeypot ها غیر معمول شناخته شده و در نتیجه حملات جدید را نیز معرفی میكند.
- Honeypot ها فعالیتهای رمز شده را نیز كشف میكنند. حتی اگر یك حمله رمز شده باشد، Honeypot ها میتوانند این فعالیت را كشف كنند. به تدریج كه تعداد بیشتری از سازمانها از پروتكلهای رمزگذاری مانند SSH، IPsec، و SSL استفاده میكنند، این مساله بیشتر خود را نشان میدهد. Honeypot ها میتوانند این كار را انجام دهند، چرا كه حملات رمز شده با Honeypot به عنوان یك نقطه انتهایی ارتباط، تعامل برقرار میكنند و این فعالیت توسط Honeypot رمز گشایی میشود.
- Honeypot با IPv6 كار میكند. اغلب Honeypot ها صرف نظر از پروتكل IP از جمله IPv6، در هر محیط IP كار میكنند. IPv6 یك استاندارد جدید پروتكل اینترنت (IP) است كه بسیاری از سازمانها در بسیاری از كشورها از آن استفاده میكنند. بسیاری از تكنولوژیهای فعلی مانند فایروالها و سنسورهای سیستم تشخیص نفوذ به خوبی با IPv6 سازگار نشده اند.
- Honeypot ها بسیار انعطاف پذیرند. Honeypot ها بسیار انعطاف پذیرند و میتوانند در محیطهای مختلفی مورد استفاده قرار گیرند. همین قابلیت انعطاف Honeypot هاست كه به آنها اجازه میدهد كاری را انجام دهند كه تعداد بسیار كمی از تكنولوژیها میتوانند انجام دهند: جمع آوری اطلاعات ارزشمند به خصوص بر علیه حملات داخلی.
- Honeypot ها به حداقل منابع نیاز دارند. حتی در بزرگترین شبكه ها، Honeypot ها به حداقل منابع احتیاج دارند. یك كامپیوتر پنتیوم قدیمی و ساده میتواند میلیونها آدرس IP یا یك شبكه OC-12 را نظارت نماید.
معایب استفاده از Honeypot
Honeypot ها نیز مانند هر تكنولوژی دیگری معایبی دارند. آنها برای این طراحی نشده اند كه جای هیچ تكنولوژی خاصی را بگیرند.
- Honeypot ها دارای یك محدوده دید كوچك و محدود هستند. Honeypot ها فقط همان كسانی را میبینند كه با آنها به تعامل میپردازند. در نتیجه حملات بر علیه سایر سیستمها و یا تعاملات انجام شده با سایر سیستمها را مشاهده نمیكنند. این نكته در عین حال كه یك مزیت است، یك عیب نیز به شمار میرود. یك Honeypot به شما نمیگوید كه سیستم دیگری مورد سوء استفاده قرار گرفته است، مگر اینكه سیستمی كه مورد سوء استفاده قرار گرفته با خود Honeypot تعاملی برقرار نماید. برای برطرف كردن این عیب راههای زیادی وجود دارد كه از طریق آنها میتوانید فعالیت مهاجمان را به سمت Honeypot ها تغییر مسیر دهید. از این میان میتوان به Honeytoken ها و تغییر مسیر اشاره كرد.
- ریسك هر زمان كه شما یك تكنولوژی جدید را به كار میگیرید، آن تكنولوژی ریسكهای مخصوص به خود را نیز به همراه دارد، مثلا این ریسك كه یك مهاجم بر این سیستم غلبه كرده و از آن به عنوان ابزاری برای حملات بر علیه اهداف داخلی و خارجی استفاده نماید. حتی سیستمهای تشخیص نفوذ كه هیچ پشته IP به آنها تخصیص داده نشده است نیز میتوانند در معرض خطر قرار داشته باشند. Honeypot ها نیز در این مورد استثناء نیستند. Honeypot های مختلف سطوح خطر متفاوتی دارند. راههای مختلفی نیز برای كاهش این خطرات وجود دارد. از میان انواع Honeypot ها، هانی نتها بیشترین سطح خطر را دارا هستند.