مكانیزمهای جمع آوری اطلاعات در Honeypot ها

مكانیزمهای جمع آوری اطلاعات در Honeypot ها

پیش از این در سه مقاله «Honeypot چیست؟»، «انواع Honeypot» و «كاربردهای Honeypot ها»، به معرفی اجمالی Honeypot ها و كاربردهای این سیستم­ها پرداختیم. در این مقاله مكانیزم­های مختلف جمع…

پیش از این در سه مقاله «Honeypot چیست؟»، «انواع Honeypot» و «كاربردهای Honeypot ها»، به معرفی اجمالی Honeypot ها و كاربردهای این سیستم­ها پرداختیم. در این مقاله مكانیزم­های مختلف جمع آوری اطلاعات در Honeypot ها را مورد بررسی قرار خواهیم داد.

جمع آوری اطلاعات در سیستمی كه صرفا به این منظور طراحی شده است كه مورد سوء استفاده مهاجمان و هكرها قرار گیرد، باید به صورتی باشد كه علاوه بر اینكه تحلیل جدی فعالیت­ها را ممكن می­سازد، در عین حال مزاحم كار هكرها نیز نگردد. در شبكه هایی كه از Honeypot به منظور تشخیص و تحلیل حملات و تهدیدات استفاده می­كنند، داده‌ها می­توانند در سه نقطه مختلف جمع آوری شوند كه هریك مزایا و معایب خود را داراست. بر این اساس، سه مكانیزم مختلف برای جمع آوری اطلاعات در Honeypot ها تعریف می­شود:

1- مبتنی بر میزبان 

 داده هایی كه بر روی میزبانی كه مورد سوء استفاده قرار گرفته است جمع آوری می­شوند، بیشترین پتانسیل را برای ثبت ارتباطات ورودی و خروجی، دستورات وارد شده بر روی میزبان از طریق خط دستور، و پردازه های در حال اجرا دارا هستند. متاسفانه این روش بیشترین خطر را نیز به همراه دارد. چرا كه فرد نفوذگر معمولا به دنبال لاگ­ها و یا ابزارهای امنیتی می­گردد و سعی می­كند آنها را غیرفعال نماید تا بتواند حضور خود را پنهان كند. به این ترتیب، جمع آوری داده ها می­تواند توسط فرد هكر متوقف شده و یا دستخوش تغییر گردد، به طوری كه نتایج به دست آمده را كاملا مغشوش نماید. به عنوان مثال­هایی از ابزارهای مورد استفاده برای ثبت فعالیت بر روی یك Honeypot می­توان به موارد زیر اشاره كرد:

  • لاگ­های سیستمی سیستم عامل (كه نوعا اولین هدف یك نفوذگر است)
  • سیستم­های تشخیص نفوذ با قابلیت جمع آوری بسته مانند Snort
  • ابزارهای جمع آوری و تحلیل بسته ها مانند Ethernal
2- مبتنی بر شبكه
یك راه حل امن­تر و در عین حال پیچیده تر برای جمع آوری داده ها این است كه Honeypot، داده ها را به صورت پنهانی جمع آوری كرده و برای تحلیل بیشتر برای یك سرور دیگر ارسال نماید. این راه حل به ما اجازه می­دهد كه داده های جمع آوری شده توسط Honeypot را بر روی سیستم دیگری آرشیو كنیم. فرض بر این است كه این سرور در برابر حملات مهاجمان ایمن شده است، چرا كه ممكن است فرد نفوذگر متوجه جریان اطلاعات به بیرون از Honeypot شده و سعی كند مكانیزم جمع آوری و ارسال اطلاعات را متوقف نماید. با استفاده از ابزارهایی مانند Sebek، می­توانیم سرویس جمع آوری داده را بر روی Honeypot پنهان كنیم و داده ها را از طریق یك ارتباط UDP به یك سرور دیگر ارسال كرده و بر روی آن ذخیره نماییم. Sebek فعالیت فرد نفوذگر را ضبط كرده و به صورت پنهانی آن را به یك سرور در داخل شبكه یا یك سرور در هر جایی بر روی اینترنت ارسال می­كند. این موضوع در شكل زیر نمایش داده شده است.
جمع آوری اطلاعات مبتنی بر شبكه با استفاده از Sebek

   

3- مبتنی بر مسیریاب/ دروازه (gateway)

آخرین روش معمول مورد استفاده برای جمع آوری داده ها در سطح gateway، مسیریاب یا فایروال شبكه است. از آنجاییكه یك gateway تمامی داده ها را بین میزبان­های یك شبكه و اینترنت منتقل می­كند، این فرصت را برای ما ایجاد می­كند كه از این طریق، تمامی ارتباطات و داده هایی را كه از اینترنت به Honeypot‌ های ما منتقل می­شوند، ثبت نماییم. این مساله دارای خطر بیشتری نسبت به راه حل Sebek  است كه در قسمت قبل توضیح داده شد. چرا كه یك gateway معمولا در شبكه پنهان نیست و در نتیجه خود نیز به هدف حملات مهاجمان تبدیل می­شود. به علاوه، این روش بیشتر وابسته به سخت افزار است، چرا كه شما به سروری احتیاج دارید كه در نقش یك gateway عمل كند. در عین حال، بسیاری از gateway هایی كه در مقیاس كوچك یا خانگی طراحی می­شوند، قابلیت­های عمده ای برای ثبت اطلاعات ندارند و نمی­توانند در این نقش مورد استفاده قرار گیرند.
بدون تكنیك­های قوی جمع آوری داده، اعتبار اطلاعات جمع آوری شده از سیستم­های میزبان به شدت كاهش می یابد و از آنجاییكه یكی از اهداف اصلی این اطلاعات شناخت مهاجمان است، اعتبار این اطلاعات نیز از اهمیت بسیار زیادی برخوردار است.

Save

دسته: آموزش امنیت سایبری
honeypot

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

این فیلد را پر کنید
این فیلد را پر کنید
لطفاً یک نشانی ایمیل معتبر بنویسید.
برای ادامه، شما باید با قوانین موافقت کنید

keyboard_arrow_up