• صفحه اصلی
  • محصولات
    • سامانه فایروال / UTM
      • فایروال P1 Enterprise
      • فایروال P1 Pro
      • فایروال P1-Basic
    • سامانه های اکانتینگ و احراز هویت
      • سامانه اکانتینگ
      • هات اسپات P-HS100
    • سامانه دسترسی سازمانی
      • سامانه ی دور کاری سازمانی (PAM)
    • سامانه APN Security Gateway
      • سامانه APN Security Gateway
    • کش سرور
      • کش سرور—-RCS Pro
    • نرم افزارهای امنیتی
      • Port Information
      • IP Calculator
      • Pavan Configurator
      • نرم افزار Ip Information
    • نرم افزار های سازمانی
      • نرم افزارهای سازمانی
    • Web Application Firewall (WAF)
  • خدمات
    • انجام تست نفوذ و ارزیابی امنیتی
      • انجام تست نفوذ و ارزیابی امنیتی
      • تست نفوذ و ارزیابی امنیتی شبکه
      • ارزیابی امنیتی سامانه های تحت وب
      • ارزیابی امنیتی شبکه و اتوماسیون صنعتی
      • تست نفوذ نرم افزار موبایل
      • استعلام گواهی ارزیابی امنیت محصول
    • مشاوره واکنش به رخدادهای امنیتی با پاوان CSIRT
    • مشاوره و راه اندازی مرکز عملیات امنیت ( SOC )
    • بازیابی از بحران و تداوم کسب و کار
    • خدمات مدیریت وصله ها و بروزرسانی امنیتی
    • خدمات شبکه با رویکرد پدافند غیر عامل
    • طراحی نرم افزار و وب سایت
    • اجرای طرح های مطالعاتی و تحقیقاتی
  • مقالات آموزشی
    • اخبار تست نفوذ و آسیب پذیری ها
    • امنیت شبکه
    • اخبار امنیت شبکه و اطلاعات
    • آموزش امنیت سایبری
    • تازه های شبکه
  • پاوان
    • درباره شرکت
    • تماس با ما
    • قوانین و مقررات
    • همکاری با ما
    • گزارش خطا
انواع Honeypot

انواع Honeypot

بهمن 22, 1394آموزش امنیت سایبریبدون دیدگاهپاوان

در مقاله «Honeypot چیست؟» به تعریف سیستمهای Honeypot، مزایا و معایب این سیستمها پرداختیم. در این مقاله پس از معرفی انواع Honeypot، به ذكر یك مثال از هر نوع خواهیم پرداخت.
برای درك بهتر Honeypot ها، می­توانیم آنها را به دو گروه با تعامل ( Interaction) كم و با تعامل زیاد تقسیم كنیم. منظور از interaction، میزان فعالیت و تعاملی است كه یك فرد مهاجم اجازه دارد با آن Honeypot انجام دهد. هر چه این میزان فعالیت و تعامل بیشتر باشد، فرد مهاجم كارهای بیشتری می­تواند انجام دهد و در نتیجه شما می­توانید راجع به وی و فعالیتش اطلاعات بیشتری بدست آورید. البته با افزایش این فعالیت و تعامل، میزان ریسك نیز افزایش می یابد. Honeypot های با تعامل كم اجازه انجام حجم كمی از تعاملات را صادر می­كنند، در حالیكه Honeypot های با تعامل زیاد حجم زیادی از تعاملات را اجازه می­دهند.

Honeypot های با تعامل كم
Honeypot های با تعامل كم، با شبیه سازی سیستمها و سرویسها كار می­كنند و فعالیتهای مهاجمان نیز صرفا شامل همان چیزهایی می­شود كه سرویسهای شبیه سازی شده اجازه می­دهند. برای مثال، Honeypot BackOfficer Friendly یك نمونه Honeypot بسیار ساده است كه هفت سرویس مختلف را شبیه سازی می­كند. مهاجمان در مورد كارهایی كه با Honeypot مبتنی بر سرویسهای شبیه سازی شده می­توانند انجام دهند بسیار محدود هستند. در بیشترین حالت، مهاجمان می­توانند به این Honeypot ها وصل شده و دستورات اولیه كمی را انجام دهند.
استفاده از Honeypot های با تعامل كم ساده تر است، چرا كه آنها معمولا از پیش با گزینه های مختلفی برای administrator تنظیم شده اند. فقط كافی است شما انتخاب كرده و كلیك كنید و بلافاصله یك Honeypot را با سیستم عامل، سرویسها و رفتار مورد نظر خود در اختیار داشته باشید. از جمله این Honeypot ها می­توان به Specter اشاره كرد كه برای اجرای تحت ویندوز طراحی شده است. این Honeypot می­تواند تا 13 سیستم عامل مختلف را شبیه سازی كرده و 14 سرویس مختلف را نظارت نماید. واسطهای كاربری باعث می­شوند كه استفاده از این Honeypot ها بسیار ساده باشد، فقط كافی است روی سرویسهایی كه می­خواهید تحت نظارت قرار گیرند كلیك كرده و نحوه رفتار Honeypot را تعیین نمایید.
Honeypot های با تعامل كم همچنین از خطر كمتری برخوردارند، چرا كه سرویسهای شبیه سازی شده، كارهایی را كه هكر می­تواند انجام دهد محدود می­كنند. هیچ سیستم عامل حقیقی برای لود كردن toolkit ها توسط مهاجم وجود ندارد، و هیچ سرویسی كه واقعا بتوان به آن نفوذ كرد نیز موجود نیست.
اما این سرویسها حجم محدودی از اطلاعات را می­توانند جمع آوری نمایند، چرا كه هكرها در كار با آنها محدود هستند. همچنین این سرویسها در مواجهه با رفتارهای شناخته شده و حملات مورد انتظار بهتر كار می­كنند. زمانی كه هكرها كاری ناشناخته یا غیر منتظره را انجام می­دهند، این Honeypot ها در درك فعالیت هكر، پاسخگویی مناسب، یا ثبت فعالیت با مشكل روبرو می­شوند. به عنوان مثالهایی از Honeypot های با تعامل كم می­توان به Honeyd، Specter، و KFSensor اشاره كرد. برای درك بهتر نحوه كار Honeypot های با تعامل كم، نگاه كوتاهی به Honeyd می اندازیم.

مثالی از Honeypot های با تعامل كم: Honeyd
Honeyd یك Honeypot متن باز است كه اولین بار در آوریل 2002 توسط «نیلز پرووس» عرضه شد. Honeyd به عنوان یك راه حل متن باز، رایگان بوده و اجازه دسترسی كامل كاربران به كد منبع خود را فراهم می آورد. این Honeypot كه برای سیستمهای یونیكس طراحی شده است، می­تواند در سیستمهای ویندوز نیز مورد استفاده قرار گیرد. البته در این حالت بسیاری از ویژگیهای مورد استفاده در سیستمهای یونیكس را از دست می­دهد. Honeyd یك Honeypot با تعامل كم است كه نرم افزار آن را روی یك كامپیوتر نصب می­كنید. سپس این نرم افزار صدها سیستم عامل و سرویس مختلف را شبیه سازی می­كند. با ویرایش فایل تنظیمات، شما تعیین می­كنید كه كدام آدرسهای IP توسط Honeyd كنترل گردند، انواع سیستم عاملهایی كه شبیه سازی می­شوند كدامها باشند، و كدام سرویسها شبیه سازی گردند.
برای مثال شما می­توانید به Honeyd بگویید كه هسته یك سیستم Linux 2.4.10 را با یك سرور FTP كه به پورت 21 گوش می­دهد شبیه سازی نماید. اگر مهاجمان به این Honeypot مراجعه كنند، بر این باور خواهند بود كه در حال تعامل با یك سیستم لینوكس هستند. اگر مهاجمان به سرویس FTP متصل شوند، تصور خواهند كرد كه با یك سرویس واقعی FTP در تماس هستند. اسكریپت شبیه سازی شده از بسیاری نظرها كاملا شبیه یك سرویس FTP واقعی رفتار كرده و در عین حال، تمامی فعالیتهای فرد مهاجم را ثبت می­كند. البته این اسكریپت چیزی بیش از یك برنامه نیست كه منتظر یك ورودی مشخص از مهاجم می­ماند و خروجی از پیش تعیین شده ای را تولید می­كند. اگر فرد مهاجم كاری انجام دهد كه اسكریپت شبیه سازی شده برای آن برنامه ریزی نشده باشد، این اسكریپت صرفا یك پیغام خطا برخواهد گرداند.
Honeyd دارای ویژگیهایی است كه برای Honeypot های با تعامل كم معمول نیست. این Honeypot نه تنها شبیه سازی سیستم عامل را به وسیله تغییر رفتار سرویسها انجام می دهد، بلكه سیستم عاملها را در سطح پشته IP نیز شبیه سازی می­كند. اگر یك فرد مهاجم از روشهای فعال fingerprinting مانند ابزارهای امنیتی اسكن Nmap و Xprobe استفاده كند، Honeyd در سطح پشته IP به عنوان هر سیستم عاملی كه بخواهید به شما پاسخ می­دهد. به علاوه بر خلاف اغلب Honeypot های با تعامل كم، Honeyd می­تواند میلیونها آدرس IP را كنترل نماید. Honeyd این كار را با كنترل كردن آدرسهای IP كامپیوترهایی كه این Honeypot روی آنها نصب شده است انجام نمی­دهد، بلكه تمامی آدرسهای IP بلا استفاده روی شبكه شما را كنترل می­كند. زمانیكه Honeyd یك تلاش را برای اتصال به یكی از آدرسهای IP بلا استفاده تشخیص می­دهد، آن تماس را قطع كرده، به طور پویا خود را به جای آن قربانی جا زده، و سپس با فرد مهاجم به تعامل می­پردازد. این قابلیت به طور قابل توجهی شانس تعامل Honeyd با یك مهاجم را بالا می­برد.

Honeypot های با تعامل زیاد
Honeypot های با تعامل زیاد با Honeypot های با تعامل كم تفاوت بسیاری دارند، چرا كه آنها كل سیستم عامل و برنامه ها را به طور حقیقی برای تعامل با مهاجمان فراهم می آورند. Honeypot های با تعامل زیاد چیزی را شبیه سازی نمی­كنند، بلكه كامپیوترهایی واقعی هستند كه برنامه هایی واقعی دارند كه آماده نفوذ توسط مهاجمان هستند. مزایای استفاده از این دسته از Honeypot ها بسیار قابل توجه است. آنها برای این طراحی شده اند كه حجم زیادی از اطلاعات را به دست آورند. این Honeypot ها نه تنها می­توانند مهاجمانی را كه به یك سیستم متصل می­شوند شناسایی نمایند، بلكه به مهاجمان اجازه می­دهند كه به این سرویسها نفوذ كرده و به سیستم عامل دسترسی پیدا كنند. در نتیجه شما قادر خواهید بود rootkit های این مهاجمان را كه به این سیستمها آپلود می­شوند به دست آورده، در حالی­كه مهاجمان با این سیستم در حال تعامل هستند ضربات كلید آنها را تحلیل نموده، و زمانیكه با سایر مهاجمان در حال ارتباط هستند آنها را كنترل كنید. در نتیجه می­توانید حركات، میزان مهارت، سازمان، و سایر اطلاعات ارزشمند را راجع به این مهاجمان به دست آورید.
همچنین از آنجایی كه Honeypot های با تعامل زیاد شبیه سازی انجام نمی­دهند، طوری طراحی شده اند كه رفتارهای جدید، ناشناخته یا غیر منتظره را شناسایی كنند. این دسته از Honeypot ها بارها و بارها ثابت كرده اند كه قابلیت كشف فعالیتهای جدید، از پروتكلهای IP غیر استاندارد مورد استفاده برای كانالهای دستورات پنهانی گرفته تا تونل زدن IPv6 در محیط IPv4 برای پنهان كردن ارتباطات را دارا هستند. البته برای به دست آوردن این قابلیتها باید بهای آن را نیز پرداخت. اولا Honeypot های با تعامل زیاد ریسك بالایی دارند. از آنجایی كه مهاجمان با سیستم عاملهای واقعی روبرو می­شوند، این Honeypot ها می­توانند برای حمله كردن و ضربه زدن به سایر سیستمهایی كه Honeypot نیستند مورد استفاده قرار گیرند. ثانیا Honeypot های با تعامل زیاد پیچیده هستند. این بار به همین سادگی نیست كه یك نرم افزار نصب كنید و پس از آن یك Honeypot داشته باشید. بلكه شما باید سیستمهای واقعی را برای تعامل با مهاجمان ساخته و تنظیم نمایید. همچنین با تلاش برای كم كردن خطر مهاجمانی كه از Honeypot شما استفاده می­كنند، این پیچیدگی بیشتر نیز خواهد شد.
دو مثال از Honeypot های با تعامل زیاد عبارتند از Symantec Decoy Server و Honeynet ها. برای ارائه دید بهتری از Honeypot های با تعامل زیاد، در ادامه به توضیح Decoy Server خواهیم پرداخت.

مثالی از Honeypot های با تعامل زیاد: Symantec Decoy Server
Decoy Server یك Honeypot تجاری است كه توسط Symantec تولید شده و به فروش می­رسد. این سیستم به عنوان یك Honeypot كه با تعامل زیاد است، سیستم عاملها و یا سرویسها را شبیه سازی نمی­كند، بلكه سیستمهای حقیقی و برنامه های حقیقی را برای برقراری تعامل با مهاجمان ایجاد می­كند. در حال حاضر Decoy Server صرفا روی سیستم عامل Solaris كار می­كند. این برنامه ، نرم افزاری است كه روی یك سیستم Solaris نصب می­شود. سپس این نرم افزار سیستم میزبان موجود را در اختیار گرفته و تا چهار «قفس» یكتا ایجاد می­كند، كه هر قفس یك Honeypot است. هر قفس یك سیستم عامل جدا و سیستم فایل مخصوص به خود را داراست. مهاجمان درست مانند سیستم عاملهای واقعی با این قفسها ارتباط برقرار می­كنند. چیزی كه مهاجمان درك نمی­كنند این است كه هر فعالیت و هر ضربه صفحه كلید آنها توسط Honeypot ثبت و ضبط می­شود.

Honeypot های با تعامل كم در مقایسه با Honeypot های با تعامل زیاد

  • در هنگام انتخاب Honeypot توجه داشته باشید كه هیچ یك از این دو نوع از دیگری بهتر نیستند. بلكه هر یك دارای مزایا و معایبی بوده و برای كاری بهتر می­باشند.
    مزایا و معایب Honeypot های با تعامل كم و Honeypot های با تعامل زیاد را می­توان به شرح زیر بیان كرد: Honeypot های با تعامل كم (شبیه سازی كننده سیستم عاملها و سرویسها)
  • پیاده سازی و به كار گیری آسان: معمولا به سادگی نصب یك نرم افزار روی یك كامپیوتر است
  • ریسك كم: سرویسهای شبیه سازی شده كارهایی كه مهاجمان می­توانند یا نمی­توانند انجام دهند را كنترل می­كنند.
  • جمع آوری اطلاعات محدود: از آنجاییكه در این دسته از Honeypot ها مهاجمان مجاز به تعامل در حد محدودی هستند، اطلاعات محدودی نیز می­توان راجع به آنها بدست آورد.
    Honeypot های با تعامل زیاد (بدون شبیه سازی، با استفاده از سیستم عاملها و سرویسهای حقیقی)
  • نصب و به كار گیری آنها می­تواند سخت باشد (نسخه های تجاری ساده ترند)
  • ریسك بالا. این موضوع كه مهاجمان با سیستم عاملهای واقعی روبرو می­شوند كه می­توانند با آن به تعامل بپردازند مزایا و معایب خاص خود را داراست.

    سازمانهای مختلف، اهداف متفاوتی دارند و به همین دلیل از Honeypot های مختلفی نیز استفاده می­كنند. یك روال معمول این است كه سازمانهای تجاری مانند بانكها، خرده فروشان، و تولید كننده ها، Honeypot های با تعامل كم را به علت ریسك پایین، به كار گیری آسان، و نگهداری ساده، ترجیح می­دهند. استفاده از Honeypot های با تعامل زیاد نیز در میان سازمانهایی كه به قابلیتهای منحصر به فرد راه حلهای با تعامل زیاد و مدیریت ریسك احتیاج دارند معمول تر است. از جمله این سازمانها می­توان به سازمانهای نظامی، دولتی، و آموزشی اشاره كرد.

: honeypot

موارد مرتبط

كاربردهای Honeypot ها

كاربردهای Honeypot ها

بهمن 22, 1394پاوان
هانی پات چیست ؟ What is honey pot

هانی پات چیست ؟

بهمن 22, 1394پاوان
مكانیزمهای جمع آوری اطلاعات در Honeypot ها

مكانیزمهای جمع آوری اطلاعات در Honeypot ها

بهمن 23, 1394پاوان

دیدگاهتان را بنویسید لغو پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

جستجو

جدیدترین مطالب سایت

  • PAVAN ACCESS TERMINAL
  • مباحث قانونی و حقوقی تست نفوذ
  • تست نفوذ - اصلاحات و راهکارهای پیشنهادیاصلاحات و راهکارهای پیشنهادی تست نفوذ
  • محدودیت های تست نفوذ
  • تست نفوذ و تفاوت ها با هک اخلاقی
  • تست نفوذ- هک اخلاقی
  • تست نفوذ- گزارش نویسی
  • تست نفوذ- انتخاب پیمانکار
  • تست نفوذ – شبکه و زیرساخت
  • تست نفوذ – ابزارها
  • تست نفوذ دستی یا ابزار اتوماتیک
  • انواع تست نفوذ
  • تست نفوذ یا ارزیابی آسیب پذیری ؟
  • مراحل تست نفوذ
  • تست نفوذ چیست و چرا لازم است؟
  • تست نفوذ چیست ؟
  • Adobe Flash Player Vulnerabilitiesآسیب پذیری های متعدد Adobe Flash Player
  • آسیب پذیری متعدد Microsoft Windows PDF Libraryآسیب پذیری های متعدد Windows PDF Library
  • Microsoft Silverlightآسیب پذیری های متعدد Microsoft Silverlight
  • IE vulnerabilitiesآسیب پذیری متعدد اینترنت اکسپلورر IE
آشنایی با شرکت پاوان

شرکت ارتباط گستر رشد پاوان در سال 1385 با هدف خدمت به جامعه علمی و صنعتی کشور در زمینه های مختلف عرصه ارتباطات و فناوری اطلاعات از جمله امنیت شبکه در مرکز رشد فناوری دانشگاه شهید چمران متولد گردیده است. این شرکت مبتکر طرح امنیت شبکه ملی هوشمند پاوان است که منطبق با نیازهای راهبردی و استراتژیک منطقه بویژه با درنظر گرفتن حملات و سناریوهای تهدیدات سایبری علیه امنیت ملی می باشد. و همچنین در تولید برخی تجهیزات ارتباط بیسیم فرکانس 2.4 مگاهرتز ترکیبی فعالیت نموده و علاوه بر طراحی و ابداع چندین پروژه در زمینه ارتباطات و انتقال اطلاعات به روش های ارسال رادیویی، در زمینه های ذیل خدمات شایان ذکری را به نهادها و سازمان های مختلف ارائه نموده است.
اطلاعات بیشتر

خدمات امنیتی

  • انجام تست نفوذ و ارزیابی امنیتی
  • آخرین تهدیدات امنیتی کشف شده
  • اجرای طرح های مطالعاتی و تحقیقاتی
  • ارزیابی امنیتی سامانه های تحت وب
  • خدمات مدیریت وصله ها و بروزرسانی امنیتی
  • خدمات شبکه با رویکرد پدافند غیر عامل
  • طراحی نرم افزار و وب سایت
  • مشاوره واکنش به رخدادهای امنیتی

پیوند ها

  • همکاری با ما
  • تماس با ما
  • درباره ما
  • گزارش خطا

تمامی حقوق این سایت متعلق به شرکت پاوان می باشد.

همکاری با ما