Honeypot چیست؟ تفاوت آن با سایر دستگاه های امنیتی در چیست؟
Honeypot چیست؟
Honeypot اساساً یک تکنولوژی بر پایه دام است. این نوع از تکنولوژی ها اساساً شرایط و محیط را برای به نفوذگران آماده میکنند و به آنها اجازه میدهند که آزاده در شبکه و یکسری از مراکز تعریف شده رفت و آمد کرده و حملاتی را ترتیب دهند. اما هدف از این کار چیست؟
شاید بتوان گفت هدف اصلی این کار رصد فعالیت های حمله کنندگان به شبکه است. در واقع این دستگاه نه چندان قدرتمند، که نیاز سخت افزاری ویژه ای هم ندارد، میتوان هزاران آدرس اینترنتی را رصد کرد و فعالیت های آنها را زیر نظر داشته باشد. این کار کمک میکند که ریسک های محتملی که در اطراف هر سازمان است به طور دقیق تر شناسایی گردند. این طرز نگاه به مساله امنیت از آنجا نشات گرفته است که اساسا ممکن است حمله هایی که به هر شبکه میشود، تفاوت های اساسی با سایرین داشته باشد. در واقع میتوان حملات را به دو صورت عام و خاص تقسیم بندی کرد. در حملات عام، روش هایی که در اکثر حملات استفاده میشوند به کار برده میشود. اما در حملات خاص، ممکن است بر اساس شکل و ساختار شبکه سازمان و روش های مبتکرانه هکرها، حملات و نوع ضربات وارده متفاوت باشد.
Honeypot دستگاهی است که میتواند از بیرون و داخل شبکه سازمان دیده شد و مورد حمله قرار گیرد. از آنجاییکه این دستگاه هیچ ارزش تولیدی ندارد، هر فعالیت خاصی در اطراف این دستگاه میتواند مشکوک تلقی شود.
دستگاه های Honeypot موجود به دو دسته کلی تقسیم بندی میشوند:
- آنهاییکه جنبه تحقیقاتی دارند و توسط سازمان های عام المنفعه ای نظیر HoneyPot Projects در سازمان ها قرار داده میشوند تا هکرها و راه های نفوذ آنها را شناسایی کنند. این دستگاه ها در واقع دایما در حال آموختن بوده و در حال شناسایی رفتارهای خرابکاران هستند.
- آنهاییکه جنبه تولیدی داشته و میتوانند علاوه بر شناسایی رفتارها، اقدام به انجام فعالیت های IDS میکنند. این دستگاه ها دارای مکانیزم های ارسال اعلان (notification) هستند و میتوانند شما را وجود خرابکاری های احتمالی آگاه کنند.
مزایای استفاده از Honeypot
– Honeypot ها صرفا مجموعه های کوچکی از داده ها را جمع آوری می کنند. Honeypot ها فقط زمانی که کسی یا چیزی با آنها ارتباط برقرار کند داده ها را جمع آوری می نمایند، در نتیجه صرفا مجموعه های بسیار کوچکی از داده ها را جمع می کنند، که البته این داده ها بسیار ارزشمندند. سازمانهایی که هزاران پیغام هشدار را در هر روز ثبت می کنند، با استفاده از Honeypot ها ممکن است فقط صد پیغام هشدار را ثبت نمایند. این موضوع باعث می شود که مدیریت و تحلیل داده های جمع آوری شده توسط Honeypot ها بسیار ساده تر باشد.
– Honeypot ها موارد خطاهای تشخیص اشتباه را کاهش می دهند. یکی از مهمترین چالشهای اغلب سیستمهای تشخیصی این است که پیغامهای هشدار دهنده خطای زیادی تولید کرده و در موارد زیادی، این پیغامهای هشدار دهنده واقعا نشان دهنده وقوع هیچ خطری نیستند. یعنی در حالی یک رویداد را تهدید تشخیص می دهند که در حقیقت تهدیدی در کار نیست. هر چه احتمال این تشخیص اشتباه بیشتر باشد، تکنولوژی تشخیص دهنده بی فایده تر می شود. Honeypot ها به طور قابل توجهی درصد این تشخیصهای اشتباه را کاهش می دهند، چرا که تقریبا هر فعالیت مرتبط با Honeypot ها به طور پیش فرض غیر مجاز تعریف شده است. به همین دلیل Honeypot ها در تشخیص حملات بسیار موثرند.
– Honeypot ها می توانند حملات ناشناخته را تشخیص دهند. چالش دیگری که در تکنولوژیهای تشخیصی معمول وجود دارد این است که آنها معمولا حملات ناشناخته را تشخیص نمی دهند. این یک تفاوت بسیار حیاتی و مهم بین Honeypot ها و تکنولوژیهای امنیت کامپیوتری معمولی است که بر اساس امضاهای شناخته شده یا داده های آماری تشخیص می دهند. تکنولوژیهای تشخیصی مبتنی بر امضا، در تعریف به این معنا هستند که ابتدا باید هر حمله ای حداقل یک بار انجام شده و امضای آن شناسایی گردد و سپس با استفاده از آن امضا، در موارد بعدی شناخته شود. تشخیص مبتنی بر داده های آماری نیز از خطاهای آماری رنج می برد. Honeypot ها طوری طراحی شده اند که حملات جدید را نیز شناسایی و کشف می کنند. چرا که هر فعالیتی در ارتباط با Honeypot ها غیر معمول شناخته شده و در نتیجه حملات جدید را نیز معرفی می کند.
– Hoeneypot فعالیتهای رمز شده را نیز کشف می کنند. حتی اگر یک حمله رمز شده باشد، Honeypot ها می توانند این فعالیت را کشف کنند. به تدریج که تعداد بیشتری از سازمانها از پروتکلهای رمزگذاری مانند SSH، IPsec و SSL استفاده می کنند، این مساله بیشتر خود را نشان می دهد. Honeypot ها می توانند این کار را انجام دهند، چرا که حملات رمز شده با Honeypot به عنوان یک نقطه انتهایی ارتباط، تعامل برقرار می کنند و این فعالیت توسط Honeypot رمز گشایی می شود.
– Honeypot با IPv6 کار می کند. اغلب Honeypot ها صرف نظر از پروتکل IP از جمله IPv6، در هر محیط IP کار می کنند. IPv6 یک استاندارد جدید پروتکل اینترنت (IP) است که بسیاری از سازمانها در بسیاری از کشورها از آن استفاده می کنند. بسیاری از تکنولوژیهای فعلی مانند فایروالها و سنسورهای سیستم تشخیص نفوذ به خوبی با IPv6 سازگار نشده اند.
– Honeypot ها بسیار انعطاف پذیرند. Honeypot ها بسیار انعطاف پذیرند و می توانند در محیطهای مختلفی مورد استفاده قرار گیرند. همین قابلیت انعطاف پذیر Honeypot هاست که به آنها اجازه می دهد کاری را انجام دهند که تعداد بسیار کمی از تکنولوژیها می توانند انجام دهند: جمع آوری اطلاعات ارزشمند به خصوص بر علیه حملات داخلی.
– Honeypot ها به حداقل منابع نیاز دارند. حتی در بزرگترین شبکه ها، Honeypot ها به حداقل منابع احتیاج دارند. یک کامپیوتر پنتیوم قدیمی و ساده می تواند میلیونها آدرس IP یا یک شبکه بسیار بزرگ را نظارت نماید.
دسته بندی ها: امنيت